Datenverkehrs-Suites
Jede Datenverkehrs-Suite ist ein Verzeichnis unter /opt/traffic-generator/suites/, das nummerierte Shell-Skripte enthält, die von runner.sh der Reihe nach ausgeführt werden. Jedes Skript akzeptiert den Ziel-FQDN als erstes Argument und schreibt die Ausgabe sowohl in stdout als auch in das Ergebnisverzeichnis.
api-attacks
Abschnitt betitelt „api-attacks“Skripte: 4 | Geschätzte Dauer: 10–17 Minuten
OWASP API-Sicherheit Top 10-Tests gegen VAmPI über F5 XC. Registriert einen Testbenutzer, ruft ein Authentifizierungstoken ab und testet anschließend BOLA, Brute-Force-Authentifizierung, übermäßige Datenexponierung, fehlerhafte Autorisierung auf Funktionsebene, SSRF-Muster, SQL-Injection gegen REST-API-Endpunkte, Erkennung versteckter Parameter und Endpunkt-Fuzzing. Zielanwendung ist VAmPI.
F5 XC-Funktion: API-Sicherheit / API Discovery
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | Umfassende OWASP API Top 10-Testsuite. Registriert einen Testbenutzer, ruft ein Authentifizierungstoken ab und testet anschließend BOLA (Zugriff auf Daten anderer Benutzer), Brute-Force-Authentifizierung, übermäßige Datenexponierung, fehlerhafte Autorisierung auf Funktionsebene, SSRF-Muster und Prüfung auf Sicherheitskonfigurationsfehler. |
| 02 | 02-sqlmap-api.sh | sqlmap | SQL-Injection gegen VAmPI REST-API-Endpunkte: Benutzersuche, Anmeldung (POST) und Registrierung (POST) mit JSON-Payloads. |
| 03 | 03-arjun-param-discovery.sh | arjun | Erkennung versteckter Parameter in Juice Shop-, DVWA- und VAmPI-Endpunkten. Entdeckt undokumentierte Abfrageparameter, die möglicherweise Injection-Payloads akzeptieren. |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | Zweiphasiges Fuzzing: Endpunkterkennung mittels einer Wortliste gängiger API-Pfade (api, swagger, graphql, admin, .env, .git) über alle Anwendungspräfixe hinweg, gefolgt von HTTP-Methoden-Fuzzing (GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND) gegen wichtige Endpunkte. |
Erwartetes F5 XC-Verhalten: API Discovery sollte die VAmPI-API-Endpunkte kartieren und ungewöhnliche Anfragemuster identifizieren. API-Sicherheitsrichtlinien sollten unbefugte Zugriffsversuche, Injection-Payloads in JSON-Bodies und Enumerationsmuster kennzeichnen. Das API-Inventar in F5 XC zeigt die erkannten Endpunkte mit Anfragezählern.
bot-simulation
Abschnitt betitelt „bot-simulation“Skripte: 4 | Geschätzte Dauer: 5–10 Minuten
Automatisierte Browser-Aktivitäten und bot-ähnliche Crawling-Muster über F5 XC. Umfasst Headless Chrome, Puppeteer mit Stealth-Plugin, schnelles Crawling und automatisierte Formularinteraktion. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: Bot-Abwehr Standard
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | Headless Chromium-Browsing: Lädt das Ziel, navigiert zwischen Anwendungspfaden, extrahiert Seitentitel und Inhalte, erstellt Screenshots. Generiert Browser-basierten Datenverkehr ohne Stealth-Plugins (als Automatisierung erkennbar). |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | Stealth-Browsing mit puppeteer-extra und dem Stealth-Plugin. Versucht, die Bot-Erkennung durch Manipulation von Navigator-Eigenschaften, WebGL und anderen Browser-Fingerprints zu umgehen. |
| 03 | 03-rapid-crawl.sh | curl, wget | Hochfrequente HTTP-Anfragen mit curl und wget in schneller Abfolge. Simuliert Scraper-Verhalten ohne Verzögerung zwischen Anfragen und mit aggressiver User-Agent-Rotation. |
| 04 | 04-form-interaction.sh | playwright | Automatisiertes Ausfüllen und Absenden von Formularen gegen DVWA-Anmeldung, Juice Shop-Registrierung und VAmPI-API-Endpunkte mithilfe von Playwrights Formularinteraktions-APIs. |
Erwartetes F5 XC-Verhalten: Bot-Abwehr sollte den Datenverkehr anhand von Browser-Fingerprint-Analyse, Anfrage-Timing und JavaScript-Challenge-Ergebnissen als automatisiert klassifizieren. Headless Chrome ohne Stealth sollte sofort erkannt werden. Stealth-Puppeteer testet, ob fortgeschrittene Umgehungstechniken die Erkennung überlisten. Das Bot-Abwehr-Dashboard zeigt Bot-Klassifizierungskategorien und Gegenmaßnahmen.
cdn-load-testing
Abschnitt betitelt „cdn-load-testing“Skripte: 18 | Geschätzte Dauer: 20–30 Minuten
Tests für CDN-Cache-Verhalten und Ursprungsserver-Schutz. Umfasst Basisdurchsatz, Query-String-Isolierung, Accept-Encoding-Variation, Thundering-Herd-Simulation, POST/PUT-Bypass, Cache-Key-Kollision, bedingtes GET, Range-Request, Purge-Simulation, Connection-Pool-Erschöpfung, Keepalive-Optimierung, TLS-Handshake-Overhead, Caching großer Objekte, Multi-Origin-Failover, Ratenbegrenzung, Gzip-Ratio-Tests, HTTP/2-Multiplexing und kombinierten Kraken-Benchmark. Zielanwendung ist der CDN-Simulator.
F5 XC-Funktion: CDN-Integration
crapi-exploits
Abschnitt betitelt „crapi-exploits“Skripte: 16 | Geschätzte Dauer: 15–25 Minuten
Ausnutzung von Schwachstellen in der OWASP crAPI (Completely Ridiculous API). Umfasst Registrierung/Authentifizierung, BOLA-Fahrzeugstandort, BOLA-Mechanikerberichte, OTP-Brute-Force, Mechanik zur Datenexponierung, übermäßige Datenexponierung, Mass-Assignment-Bestellungen, SSRF-Couponvalidierung, NoSQL-Injection, JWT-Manipulation, IDOR-Dashboard, 2FA-Bypass, internen API-Zugriff, serverseitige Parameterverschmutzung, Benutzerlöschung und Video-Upload-IDOR. Zielanwendung ist die crAPI-Anwendung.
F5 XC-Funktion: API-Sicherheit
csd-demo-attacks
Abschnitt betitelt „csd-demo-attacks“Skripte: 5 (JavaScript) | Geschätzte Dauer: 3–5 Minuten
Clientseitige JavaScript-Injection-Angriffe. Umfasst Card-Skimmer-Injection, Formjacker, Keylogger, Kryptominer und DOM-Hijack-Skripte. Testet Magecart-ähnliche clientseitige Supply-Chain-Angriffe, die F5 XC Clientseitige Abwehr erkennt und blockiert. Zielanwendung ist die CSD-Demo-Anwendung.
F5 XC-Funktion: Clientseitige Abwehr
demoapp-attacks
Abschnitt betitelt „demoapp-attacks“Skripte: 2 | Geschätzte Dauer: 2–3 Minuten
Gezielte Angriffs-Payloads gegen die eingebauten WAF-Testendpunkte der F5 DemoApp (/WAF/SQL, /WAF/XSS, /WAF/DIR). Sendet SQL-Injection-, XSS- und Path-Traversal-Payloads direkt an die Endpunkte, die zur Demonstration des WAF-Blockverhaltens entwickelt wurden. Verwenden Sie diese Suite, wenn Sie den DemoApp-Inhaltsserver anstelle der Standard-Ursprungsserver-Anwendungen als Ziel verwenden.
F5 XC-Funktion: WAF (Web-App-Firewall (WAF))
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | 15 SQL-Injection-Payloads gegen /WAF/SQL?age=, darunter UNION SELECT, DROP TABLE, WAITFOR DELAY, xp_cmdshell, kommentarbasierter Bypass und boolesche Logik-Payloads. |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | 18 XSS-Payloads gegen /WAF/XSS?update=, darunter Script-Tags, Event-Handler (onerror, onload, ontoggle, onfocus), Base64-Eval, Style-Expression, Polyglot-Payloads und Cookie-Exfiltration. |
Erwartetes F5 XC-Verhalten: Die WAF sollte Anfragen mit SQL-Injection- und XSS-Payloads blockieren und eine Blockierungsseite zurückgeben. Das Sicherheitsereignis-Dashboard zeigt Verletzungskategorien und Signaturübereinstimmungen für jede blockierte Anfrage.
dvga-exploits
Abschnitt betitelt „dvga-exploits“Skripte: 9 | Geschätzte Dauer: 8–12 Minuten
GraphQL-spezifische Ausnutzung von Schwachstellen gegen die Damn Vulnerable GraphQL Application. Umfasst Batch-Query-DoS, tiefe Rekursion, Feldvervielfältigung, SQL-Injection via Filter, XSS via createPaste, Alias-basierter DoS, Introspektionsmissbrauch, Autorisierungsumgehung und Informationsoffenlegung. Zielanwendung ist die DVGA-Anwendung.
F5 XC-Funktion: API-Sicherheit (GraphQL)
dvwa-exploits
Abschnitt betitelt „dvwa-exploits“Skripte: 14 | Geschätzte Dauer: 15–25 Minuten
OWASP Top 10-Tests gegen die Damn Vulnerable Web Application. Umfasst Brute-Force, Command-Injection, CSRF-Passwortänderung, File-Inclusion, File-Upload, SQL-Injection (blind), SQL-Injection (Union), XSS (DOM), XSS (reflected), XSS (stored), CAPTCHA-Bypass, schwache Session-IDs, unsicheres CORS und Open Redirect. Zielanwendung ist die DVWA-Anwendung.
F5 XC-Funktion: WAF
javascript-exploits
Abschnitt betitelt „javascript-exploits“Skripte: 3 | Geschätzte Dauer: 3–5 Minuten
Clientseitige Script-Injection und DOM-Manipulationsmuster, die die Erkennung durch Clientseitige Abwehr auslösen. Umfasst Inline-Script-Injection, die Magecart-ähnliche Skimmer imitiert, DOM-Manipulation via Headless Chromium und Simulation von Drittanbieter-Skripten. Zielanwendung ist die CSD-Demo-Anwendung.
F5 XC-Funktion: Clientseitige Abwehr (CSD)
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Sendet Anfragen mit eingebetteten JavaScript-Payloads, die Magecart-ähnliche Kreditkarten-Skimmer und Datenexfiltrations-Skripte imitieren. |
| 02 | 02-dom-manipulation.sh | playwright | Verwendet Headless Chromium, um die CSD-Demo-Seite zu laden und DOM-Modifikationen einzufügen: Hinzufügen von Script-Tags, Ändern von Formularaktionen und Einfügen unsichtbarer iFrames, die Formulardaten exfiltrieren. |
| 03 | 03-third-party-script-sim.sh | curl, playwright | Simuliert kompromittierte Drittanbieter-Skripte durch Einfügen von Anfragen, die auf externe JavaScript-Quellen verweisen, und versucht, nicht autorisierte Skripte in den Seitenkontext zu laden. |
Erwartetes F5 XC-Verhalten: Clientseitige Abwehr sollte nicht autorisierte Skriptmodifikationen auf der geschützten Seite erkennen. Das CSD-Dashboard zeigt Warnungen für neue Skriptquellen, geänderte DOM-Elemente und Datenexfiltrationsversuche. Dies validiert die CSD Phase 2-Funktionalität.
juice-shop-exploits
Abschnitt betitelt „juice-shop-exploits“Skripte: 12 | Geschätzte Dauer: 10–18 Minuten
Ausnutzung von OWASP Juice Shop-Challenges. Umfasst SQL-Injection-Login-Bypass, SQL-Injection-Suche Union, XSS DOM reflected, XSS stored API, IDOR-Korbzugriff, Admin-Bereichszugriff, gefälschtes Feedback, Null-Byte-Dateizugriff, reflected XSS in der Suche, HTTP-Header-Injection, repetitive Registrierung und Login-Brute-Force. Zielanwendung ist die Juice Shop-Anwendung.
F5 XC-Funktion: WAF, Bot-Abwehr Standard
mitre-attack
Abschnitt betitelt „mitre-attack“Skripte: 8 | Geschätzte Dauer: 10–15 Minuten
Simulation von MITRE ATT&CK-Framework-Taktiken. Umfasst Aufklärung (externes Scanning), initialer Zugriff (Credential Stuffing), Ausführung (Command Injection), Credential Access (Standardpasswörter), Erkundung (Verzeichnisenumeration), Simulation von Lateral Movement, Sammlung (Data Scraping) und Exfiltrationssimulation. Ordnet jedes Skript einer spezifischen MITRE ATT&CK-Taktik für strukturierte Bedrohungsabdeckungsberichte zu. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: WAF, Bot-Abwehr Standard, API-Sicherheit
owasp-scanning
Abschnitt betitelt „owasp-scanning“Skripte: 10 | Geschätzte Dauer: 20–35 Minuten
Umfassende OWASP-Scanning-Suite mit dedizierten Schwachstellen-Scannern. Umfasst ZAP-Basisscan, ZAP-Aktivscan, Nikto-Vollscan, Nuclei-Vollscan, Nmap-Schwachstellenscan, SSL/TLS-Audit, Verzeichnis-Fuzzing, Subdomain-Enumeration, Technologie-Fingerprinting und kombinierten OWASP-Berichtgenerierung. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: WAF, Web-App-Scanning
performance-testing
Abschnitt betitelt „performance-testing“Skripte: 12 | Geschätzte Dauer: 15–30 Minuten
Tests der Leistungsmerkmale unter verschiedenen Lastmustern. Umfasst Parallelitäts-Rampe, Durchsatz pro Anwendung, anhaltende Last, Connection Churn, gemischte Angriffs- und Lastszenarien, Spike-Tests, Dauertest, Breakpoint-Erkennung, Antwortzeit-Perzentile, Fehlerrate unter Last, Ressourcenerschöpfung und Latenzverteilungsanalyse. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: DDoS-Schutz, Ratenbegrenzung
reconnaissance
Abschnitt betitelt „reconnaissance“Skripte: 6 | Geschätzte Dauer: 8–15 Minuten
Netzwerk-Scanning, Dienst-Enumeration und Verzeichnis-Brute-Forcing gegen die Zielinfrastruktur. Umfasst Nmap-Diensterkennung, Masscan-Port-Sweeps, Verzeichnis-Brute-Forcing, Subdomain-Enumeration, Web-Technologie-Fingerprinting und DNS-Aufklärung. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: WAF / Bot-Abwehr Standard
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | Dienstversionserkennung und Standard-Skript-Scan gegen die HTTP/HTTPS-Ports des Ziels. |
| 02 | 02-masscan-sweep.sh | masscan | Hochgeschwindigkeits-Port-Scan gängiger Web-Ports (80, 443, 8080, 8443) mit Ratenbegrenzung. |
| 03 | 03-gobuster-dirs.sh | gobuster | Verzeichnis-Brute-Forcing mit der SecLists Common Wordlist gegen alle Anwendungspräfixe. |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | Passive Subdomain-Enumeration für die Zieldomain, gefolgt von HTTP-Probing der entdeckten Hosts. |
| 05 | 05-whatweb-fingerprint.sh | whatweb | Web-Technologie-Fingerprinting des Ziels und aller Anwendungspfade. |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | DNS-Eintrags-Enumeration, Zone-Transfer-Versuche und Reverse-Lookups für die Zieldomain. |
Erwartetes F5 XC-Verhalten: Die WAF sollte Scanning-Aktivitäten erkennen und protokollieren. Bot-Abwehr kann schnelle sequentielle Anfragen als automatisiert klassifizieren. Das Sicherheitsereignis-Dashboard zeigt Aufklärungssignaturen und User-Agent-Strings von Scanning-Werkzeugen.
restaurant-exploits
Abschnitt betitelt „restaurant-exploits“Skripte: 11 | Geschätzte Dauer: 10–18 Minuten
OWASP API-Sicherheit Top 10 2023-Tests gegen die Restaurant-API-Anwendung. Umfasst Registrierung/Authentifizierung, BOLA-Profil, BOLA-Bestellungen, BOPLA Mass Assignment, BFLA-Privilegieneskalation, Ratenbegrenzungs-Bypass, SQL-Injection-Menü, Command-Injection-Festplattenstatistiken, SSRF-Bild-URL, JWT Weak Secret und sensible Datenexponierung. Zielanwendung ist die Restaurant-API-Anwendung.
F5 XC-Funktion: API-Sicherheit
ssl-scanning
Abschnitt betitelt „ssl-scanning“Skripte: 3 | Geschätzte Dauer: 3–5 Minuten
TLS/SSL-Konfigurationsanalyse des HTTPS-Endpunkts des F5 XC-Load-Balancers. Enumeriert Cipher-Suites, Protokollversionen, Zertifikatsdetails und prüft auf bekannte TLS-Schwachstellen. Zielanwendung ist der F5 XC-Load-Balancer-Endpunkt.
F5 XC-Funktion: WAF (informativ)
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | Enumeriert unterstützte Cipher-Suites, Protokollversionen und Zertifikatsdetails. |
| 02 | 02-sslyze.sh | sslyze | Umfassende TLS-Analyse einschließlich Zertifikatsvalidierung, Cipher-Suite-Reihenfolge und Schwachstellenprüfungen (Heartbleed, ROBOT usw.). |
| 03 | 03-testssl.sh | testssl.sh | Vollständige TLS-Bewertung mit dem testssl.sh-Framework. Testet Protokollunterstützung, Cipher-Präferenzen, Header-Analyse und bekannte Schwachstellen. |
Erwartetes F5 XC-Verhalten: SSL-Scanning generiert viele TLS-Handshakes mit ungewöhnlichen Cipher-Suite-Vorschlägen. Obwohl F5 XC diese in der Regel nicht blockiert, ist das Datenverkehrsmuster in den Zugriffsprotokollen sichtbar. Der primäre Nutzen besteht darin, zu überprüfen, ob die TLS-Konfiguration von F5 XC den bewährten Sicherheitspraktiken entspricht.
traffic-generation
Abschnitt betitelt „traffic-generation“Skripte: 4 | Geschätzte Dauer: 5–10 Minuten (konfigurierbar)
Hochvolumiger legitimer HTTP-Datenverkehr für Basismessungen und Lasttests. Stellt normale Datenverkehrsmuster in der F5 XC-Analyse für den Vergleich mit Angriffs-Suite-Datenverkehr her. Zielanwendung sind alle Anwendungen.
F5 XC-Funktion: Alle (Basisvergleich)
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | Sequentielle HTTP-GET-Anfragen an alle Anwendungspfade mit standardmäßigem Browser-User-Agent. Etabliert eine Basislinie normalen Datenverkehrs in der F5 XC-Analyse. |
| 02 | 02-concurrent-load.sh | curl | Parallele HTTP-Anfragen mit curl und mehreren gleichzeitigen Verbindungen. Testet die Lastverarbeitung und etabliert Durchsatz-Basislinien. |
| 03 | 03-mixed-methods.sh | curl | Gemischte HTTP-Methoden (GET, POST, PUT, DELETE) gegen API-Endpunkte mit gültigen Payloads. Generiert normale API-Datenverkehrsmuster für den Vergleich mit Angriffsdatenverkehr. |
| 04 | 04-user-journey.sh | playwright | Simuliert eine realistische Benutzerreise: Seiten durchsuchen, Produkte suchen, Formulare ausfüllen und zwischen Anwendungen navigieren mit Playwright und Standard-Browser-Einstellungen. |
Erwartetes F5 XC-Verhalten: Alle Anfragen in dieser Suite sollten ohne WAF- oder Bot-Abwehr-Eingriff durchgeleitet werden. Verwenden Sie diese Suite, um „sauberen” Datenverkehr im Analyse-Dashboard zu generieren, und vergleichen Sie ihn anschließend mit dem Angriffs-Suite-Datenverkehr, um den Unterschied zwischen legitimen und bösartigen Anfragemuster zu demonstrieren.
waf-encoding-evasion
Abschnitt betitelt „waf-encoding-evasion“Skripte: 7 | Geschätzte Dauer: 5–10 Minuten
Mehrschichtige Kodierungsumgehungsangriffe, die testen, ob eine WAF Payloads vor der Inspektion korrekt normalisiert und dekodiert. Abgedeckt werden einfache, doppelte und dreifache URL-Kodierung; HTML-Entity-Kodierung (dezimal, hex, benannt, null-aufgefüllt); Unicode/UTF-8-Einfügung (Zero-Width Space, BOM, Fullwidth-Zeichen, weiches Trennzeichen, überlange Sequenzen); gemischte/verschachtelte mehrschichtige Kodierung (URL-kodierte HTML-Entities, doppelte URL innerhalb von Entities, 3-Schicht-Stacks); Null-Byte-Injection; IIS %uXXXX-Kodierung; Groß-/Kleinschreibungsmanipulation; Chunked-Transfer-Encoding-Body-Splitting; Base64-Parameter-Umgehung sowie Header/Cookie-kodierte Payloads. Zielanwendung ist jede Anwendung.
F5 XC-Funktion: WAF (Kodierungsnormalisierungstiefe)
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | Einfache, doppelte und dreifache URL-Kodierung von SQLi-, XSS- und Path-Traversal-Payloads über mehrere Endpunktpfade. Testet, ob die WAF URL-Parameter rekursiv dekodiert. |
| 02 | 02-html-entity-encoding.sh | curl, python3 | Dezimale, hexadezimale, benannte und null-aufgefüllte HTML-Entity-Kodierung von Angriffs-Payloads sowohl in GET-Parametern als auch in POST-Bodies. Enthält Template-Injection via {{7*7}}. |
| 03 | 03-unicode-utf8-evasion.sh | curl | Einfügung von Zero-Width Space (U+200B), BOM (U+FEFF), Fullwidth-Zeichen, weichem Trennzeichen und ZWNJ in SQL-Schlüsselwörter und XSS-Tags. Testet überlange UTF-8-Sequenzen (2-Byte und 3-Byte). |
| 04 | 04-mixed-nested-encoding.sh | curl | Mehrschichtige Payloads: URL-kodierte HTML-Entities, doppelte URL innerhalb von Entities, dreifache Schicht-Stacks, JSON-Body mit Unicode-Escapes (<), sowie das benutzerspezifische {{7*7}}-Template-Injection-Muster. |
| 05 | 05-null-byte-iis-base64.sh | curl | Null-Byte-Injection (%00) zur Erweiterungs-Umgehung, IIS %uXXXX-Unicode-Kodierung und Base64-kodierte Payloads in URL-Parametern mit Decode-Flags. |
| 06 | 06-case-chunked-evasion.sh | curl | Zufällige Groß-/Kleinschreibung kombiniert mit Kodierung (%3CsCrIpT%3E), Chunked Transfer Encoding zur Aufteilung von SQL/XSS-Schlüsselwörtern über HTTP-Chunks, Content-Length/Transfer-Encoding-Konflikttests und alternative Pfadtrennzeichen (%5c, %c0%af). |
| 07 | 07-header-cookie-evasion.sh | curl | Kodierte Angriffs-Payloads, die über Cookie-, Referer-, User-Agent-, X-Forwarded-For- und X-Original-URL-Header injiziert werden. Testet, ob die WAF alle HTTP-Header-Felder inspiziert und dekodiert, nicht nur Abfrageparameter und POST-Bodies. |
Erwartetes F5 XC-Verhalten: Eine korrekt konfigurierte WAF sollte alle Kodierungsschichten vor dem Musterabgleich normalisieren. Einfach kodierte Payloads sollten sofort blockiert werden. Tests mit doppelter und dreifacher Kodierung zeigen die Tiefe der Dekodierungspipeline der WAF. Unicode-Einfügungstests zeigen, ob unsichtbare Zeichen vor dem Schlüsselwortabgleich entfernt werden. Ergebnisse, bei denen kodierte Varianten passieren, während Klartextäquivalente blockiert werden, weisen auf Normalisierungslücken in der WAF-Richtlinie hin.
web-app-attacks
Abschnitt betitelt „web-app-attacks“Skripte: 6 | Geschätzte Dauer: 12–20 Minuten
OWASP Top 10-Tests für Web-Anwendungsschwachstellen gegen Juice Shop und DVWA über F5 XC. Umfasst SQL-Injection, XSS, Command-Injection, Path-Traversal, Nikto-Scanning und Nuclei-Template-basiertes Scanning. Zielanwendungen sind Juice Shop und DVWA.
F5 XC-Funktion: WAF (Web-App-Firewall (WAF))
| Reihenfolge | Skript | Werkzeuge | Beschreibung |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | SQL-Injection-Payloads gegen die Juice Shop-Such-API und den DVWA SQLi-Endpunkt. Führt automatisierte sqlmap-Scans durch und sendet dann 10 direkte curl-basierte Injection-Payloads. |
| 02 | 02-xss.sh | dalfox, curl | Cross-Site-Scripting gegen Juice Shop und DVWA XSS reflected/stored-Endpunkte. Führt automatisierte dalfox-Scans durch und sendet dann 12 direkte XSS-Payloads einschließlich Script-Tags, Event-Handler und Cookie-Exfiltration. |
| 03 | 03-command-injection.sh | curl | OS-Command-Injection-Payloads gegen den DVWA-Exec-Endpunkt. Sendet 12 Payloads einschließlich Pipe-Chains, Semikolons, URL-kodierten Zeilenumbrüchen und Reverse-Shell-Mustern. |
| 04 | 04-path-traversal.sh | curl | Verzeichnisüberquerung gegen mehrere Anwendungsendpunkte. Testet Standard-../-Überquerungen, URL-kodierte Varianten, doppelt kodierte Varianten, Null-Byte-Varianten und Unicode-Varianten über 6 Endpunktpfade. |
| 05 | 05-nikto-scan.sh | nikto | Vollständiger Web-Server-Schwachstellenscan mit 120-Sekunden-Zeitlimit. Generiert vielfältige HTTP-Anfragen, die WAF-Signaturabgleich auslösen. |
| 06 | 06-nuclei-scan.sh | nuclei | Template-basiertes Schwachstellenscanning auf mittleren, hohen und kritischen Schweregraden. Ratenbegrenzt auf 50 Anfragen/Sekunde. |
Erwartetes F5 XC-Verhalten: Die WAF sollte Anfragen mit SQL-Injection-, XSS-, Command-Injection- und Path-Traversal-Payloads blockieren oder kennzeichnen. Das Sicherheitsereignis-Dashboard zeigt Verletzungskategorien, Signatur-IDs und Anforderungsdetails für jede blockierte Anfrage.