ट्रैफ़िक सूट
प्रत्येक ट्रैफ़िक सूट /opt/traffic-generator/suites/ के अंतर्गत एक डायरेक्टरी है जिसमें क्रमांकित शेल स्क्रिप्ट होती हैं जिन्हें runner.sh द्वारा क्रम में निष्पादित किया जाता है। प्रत्येक स्क्रिप्ट अपने पहले आर्गुमेंट के रूप में लक्ष्य FQDN स्वीकार करती है और आउटपुट को stdout तथा परिणाम डायरेक्टरी दोनों में लिखती है।
api-attacks
Section titled “api-attacks”स्क्रिप्ट: 4 | अनुमानित अवधि: 10-17 मिनट
F5 XC के माध्यम से VAmPI के विरुद्ध OWASP API सुरक्षा Top 10 परीक्षण। एक परीक्षण उपयोगकर्ता पंजीकृत करता है, एक auth टोकन प्राप्त करता है, फिर BOLA, ब्रूट-फोर्स प्रमाणीकरण, अत्यधिक डेटा एक्सपोज़र, टूटे हुए फ़ंक्शन-स्तरीय प्राधिकरण, SSRF पैटर्न, REST API एंडपॉइंट के विरुद्ध SQL इंजेक्शन, छिपे हुए पैरामीटर खोज, और एंडपॉइंट फ़ज़िंग का परीक्षण करता है। VAmPI एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: API सुरक्षा / API डिस्कवरी
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | व्यापक OWASP API Top 10 परीक्षण सूट। एक परीक्षण उपयोगकर्ता पंजीकृत करता है, एक auth टोकन प्राप्त करता है, फिर BOLA (अन्य उपयोगकर्ताओं के डेटा तक पहुँच), ब्रूट-फोर्स प्रमाणीकरण, अत्यधिक डेटा एक्सपोज़र, टूटे हुए फ़ंक्शन-स्तरीय प्राधिकरण, SSRF पैटर्न, और सुरक्षा गलत कॉन्फ़िगरेशन जाँच का परीक्षण करता है। |
| 02 | 02-sqlmap-api.sh | sqlmap | VAmPI REST API एंडपॉइंट के विरुद्ध SQL इंजेक्शन: उपयोगकर्ता लुकअप, लॉगिन (POST), और JSON पेलोड के साथ रजिस्टर (POST)। |
| 03 | 03-arjun-param-discovery.sh | arjun | Juice Shop, DVWA, और VAmPI एंडपॉइंट में छिपे हुए पैरामीटर की खोज। ऐसे अनदस्तावेज़ीकृत क्वेरी पैरामीटर खोजता है जो इंजेक्शन पेलोड स्वीकार कर सकते हैं। |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | दो-चरणीय फ़ज़िंग: सभी एप्लिकेशन प्रीफ़िक्स में सामान्य API पथों (api, swagger, graphql, admin, .env, .git) की वर्डलिस्ट का उपयोग करके एंडपॉइंट खोज, फिर मुख्य एंडपॉइंट के विरुद्ध HTTP मेथड फ़ज़िंग (GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND)। |
अपेक्षित F5 XC व्यवहार: API डिस्कवरी को VAmPI API एंडपॉइंट मैप करने और असामान्य अनुरोध पैटर्न की पहचान करनी चाहिए। API सुरक्षा नीतियाँ अनधिकृत एक्सेस प्रयासों, JSON बॉडी में इंजेक्शन पेलोड, और एन्यूमरेशन पैटर्न को फ़्लैग करनी चाहिए। F5 XC में API इन्वेंटरी अनुरोध गणनाओं के साथ खोजे गए एंडपॉइंट दिखाएगी।
bot-simulation
Section titled “bot-simulation”स्क्रिप्ट: 4 | अनुमानित अवधि: 5-10 मिनट
F5 XC के माध्यम से स्वचालित ब्राउज़र गतिविधि और बॉट-जैसे क्रॉलिंग पैटर्न। इसमें हेडलेस Chrome, स्टेल्थ प्लगइन के साथ Puppeteer, तीव्र क्रॉलिंग, और स्वचालित फ़ॉर्म इंटरेक्शन शामिल हैं। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: Bot उन्नत रक्षा
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | हेडलेस Chromium ब्राउज़िंग: लक्ष्य लोड करता है, एप्लिकेशन पथों के बीच नेविगेट करता है, पेज शीर्षक और सामग्री निकालता है, स्क्रीनशॉट लेता है। स्टेल्थ प्लगइन के बिना ब्राउज़र-आधारित ट्रैफ़िक उत्पन्न करता है (स्वचालन के रूप में पहचाने जाने योग्य)। |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | स्टेल्थ प्लगइन के साथ puppeteer-extra का उपयोग करके स्टेल्थ ब्राउज़िंग। navigator प्रॉपर्टी, WebGL, और अन्य ब्राउज़र फिंगरप्रिंट को पैच करके बॉट डिटेक्शन से बचने का प्रयास करता है। |
| 03 | 03-rapid-crawl.sh | curl, wget | curl और wget का उपयोग करके तीव्र उत्तराधिकार में उच्च-आवृत्ति HTTP अनुरोध। अनुरोधों के बीच कोई देरी नहीं और आक्रामक User-Agent रोटेशन के साथ स्क्रैपर व्यवहार का अनुकरण करता है। |
| 04 | 04-form-interaction.sh | playwright | Playwright के फ़ॉर्म इंटरेक्शन APIs का उपयोग करके DVWA लॉगिन, Juice Shop पंजीकरण, और VAmPI API एंडपॉइंट के विरुद्ध स्वचालित फ़ॉर्म भरना और सबमिट करना। |
अपेक्षित F5 XC व्यवहार: Bot उन्नत रक्षा को ब्राउज़र फिंगरप्रिंट विश्लेषण, अनुरोध टाइमिंग, और JavaScript चैलेंज परिणामों के आधार पर ट्रैफ़िक को स्वचालित के रूप में वर्गीकृत करना चाहिए। स्टेल्थ के बिना हेडलेस Chrome तुरंत डिटेक्ट होना चाहिए। स्टेल्थ Puppeteer परीक्षण करता है कि क्या उन्नत इवेज़न तकनीकें डिटेक्शन को बायपास करती हैं। Bot उन्नत रक्षा डैशबोर्ड बॉट वर्गीकरण श्रेणियाँ और शमन क्रियाएँ दिखाएगा।
cdn-load-testing
Section titled “cdn-load-testing”स्क्रिप्ट: 18 | अनुमानित अवधि: 20-30 मिनट
CDN कैश व्यवहार और ऑरिजिन सर्वर सुरक्षा परीक्षण। इसमें बेसलाइन थ्रूपुट, क्वेरी स्ट्रिंग आइसोलेशन, accept-encoding वेरिएशन, थंडरिंग हर्ड सिम्युलेशन, POST/PUT बायपास, कैश की कोलिज़न, कंडिशनल GET, रेंज रिक्वेस्ट, पर्ज सिम्युलेशन, कनेक्शन पूल एग्ज़ॉशन, keepalive ऑप्टिमाइज़ेशन, TLS हैंडशेक ओवरहेड, बड़े ऑब्जेक्ट कैशिंग, मल्टी-ऑरिजिन फेलओवर, रेट लिमिटिंग, gzip रेशियो टेस्टिंग, HTTP/2 मल्टीप्लेक्सिंग, और संयुक्त kraken बेंचमार्क शामिल हैं। CDN सिम्युलेटर एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: CDN इंटीग्रेशन
crapi-exploits
Section titled “crapi-exploits”स्क्रिप्ट: 16 | अनुमानित अवधि: 15-25 मिनट
OWASP crAPI (Completely Ridiculous API) चैलेंज शोषण। इसमें रजिस्टर/auth, BOLA वाहन स्थान, BOLA मैकेनिक रिपोर्ट, OTP ब्रूटफोर्स, डेटा एक्सपोज़र मैकेनिक्स, अत्यधिक डेटा एक्सपोज़र, मास असाइनमेंट ऑर्डर, SSRF कूपन वैलिडेशन, NoSQL इंजेक्शन, JWT मैनिपुलेशन, IDOR डैशबोर्ड, 2FA बायपास, इंटर्नल API एक्सेस, सर्वर-साइड पैरामीटर पॉल्यूशन, उपयोगकर्ता डिलीशन, और वीडियो अपलोड IDOR शामिल हैं। crAPI एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: API सुरक्षा
csd-demo-attacks
Section titled “csd-demo-attacks”स्क्रिप्ट: 5 (JavaScript) | अनुमानित अवधि: 3-5 मिनट
क्लाइंट-साइड JavaScript इंजेक्शन हमले। इसमें कार्ड स्किमर इंजेक्शन, फ़ॉर्मजैकर, कीलॉगर, क्रिप्टोमाइनर, और DOM हाइजैक स्क्रिप्ट शामिल हैं। Magecart-शैली के क्लाइंट-साइड सप्लाई चेन हमलों का परीक्षण करता है जिन्हें F5 XC क्लाइंट-साइड डिफेंस डिटेक्ट और ब्लॉक करता है। CSD डेमो एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: क्लाइंट-साइड डिफेंस
demoapp-attacks
Section titled “demoapp-attacks”स्क्रिप्ट: 2 | अनुमानित अवधि: 2-3 मिनट
F5 DemoApp के अंतर्निहित WAF परीक्षण एंडपॉइंट (/WAF/SQL, /WAF/XSS, /WAF/DIR) के विरुद्ध लक्षित हमले पेलोड। WAF ब्लॉकिंग व्यवहार प्रदर्शित करने के लिए डिज़ाइन किए गए एंडपॉइंट पर सीधे SQL इंजेक्शन, XSS, और पाथ ट्रैवर्सल पेलोड भेजता है। इस सूट का उपयोग तब करें जब मानक ऑरिजिन सर्वर एप्लिकेशन के बजाय DemoApp कंटेंट सर्वर को लक्षित किया जाए।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | /WAF/SQL?age= के विरुद्ध 15 SQL इंजेक्शन पेलोड जिसमें UNION SELECT, DROP TABLE, WAITFOR DELAY, xp_cmdshell, कमेंट-आधारित बायपास, और बूलियन लॉजिक पेलोड शामिल हैं। |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | /WAF/XSS?update= के विरुद्ध 18 XSS पेलोड जिसमें स्क्रिप्ट टैग, इवेंट हैंडलर (onerror, onload, ontoggle, onfocus), base64 eval, स्टाइल एक्सप्रेशन, पॉलीग्लॉट पेलोड, और कुकी एक्सफ़िल्ट्रेशन शामिल हैं। |
अपेक्षित F5 XC व्यवहार: वेब ऐप फ़ायरवॉल (WAF) को SQL इंजेक्शन और XSS पेलोड वाले अनुरोधों को ब्लॉक करना चाहिए और एक ब्लॉक पेज वापस करना चाहिए। सुरक्षा इवेंट डैशबोर्ड प्रत्येक ब्लॉक किए गए अनुरोध के लिए उल्लंघन श्रेणियाँ और सिग्नेचर मिलान दिखाएगा।
dvga-exploits
Section titled “dvga-exploits”स्क्रिप्ट: 9 | अनुमानित अवधि: 8-12 मिनट
Damn Vulnerable GraphQL Application के विरुद्ध GraphQL-विशिष्ट भेद्यता शोषण। इसमें बैच क्वेरी DoS, गहरी पुनरावृत्ति, फ़ील्ड डुप्लीकेशन, फ़िल्टर के माध्यम से SQL इंजेक्शन, createPaste के माध्यम से XSS, alias-आधारित DoS, introspection दुरुपयोग, प्राधिकरण बायपास, और जानकारी प्रकटीकरण शामिल हैं। DVGA एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: API सुरक्षा (GraphQL)
dvwa-exploits
Section titled “dvwa-exploits”स्क्रिप्ट: 14 | अनुमानित अवधि: 15-25 मिनट
Damn Vulnerable Web Application के विरुद्ध OWASP Top 10 परीक्षण। इसमें ब्रूट फोर्स, कमांड इंजेक्शन, CSRF पासवर्ड बदलाव, फ़ाइल इंक्लूज़न, फ़ाइल अपलोड, SQL इंजेक्शन (ब्लाइंड), SQL इंजेक्शन (यूनियन), XSS (DOM), XSS (रिफ्लेक्टेड), XSS (स्टोर्ड), CAPTCHA बायपास, कमज़ोर सेशन IDs, असुरक्षित CORS, और ओपन रीडायरेक्ट शामिल हैं। DVWA एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF)
javascript-exploits
Section titled “javascript-exploits”स्क्रिप्ट: 3 | अनुमानित अवधि: 3-5 मिनट
क्लाइंट-साइड स्क्रिप्ट इंजेक्शन और DOM मैनिपुलेशन पैटर्न जो क्लाइंट-साइड डिफेंस डिटेक्शन को ट्रिगर करते हैं। इसमें Magecart-शैली के स्किमर की नकल करने वाला इनलाइन स्क्रिप्ट इंजेक्शन, हेडलेस Chromium के माध्यम से DOM मैनिपुलेशन, और थर्ड-पार्टी स्क्रिप्ट सिम्युलेशन शामिल हैं। CSD डेमो एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: क्लाइंट-साइड डिफेंस (CSD)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Magecart-शैली के क्रेडिट कार्ड स्किमर और डेटा एक्सफ़िल्ट्रेशन स्क्रिप्ट की नकल करने के लिए डिज़ाइन किए गए इनलाइन JavaScript पेलोड वाले अनुरोध भेजता है। |
| 02 | 02-dom-manipulation.sh | playwright | CSD डेमो पेज लोड करने और DOM संशोधन इंजेक्ट करने के लिए हेडलेस Chromium का उपयोग करता है: स्क्रिप्ट टैग जोड़ना, फ़ॉर्म एक्शन संशोधित करना, और अदृश्य iframes सम्मिलित करना जो फ़ॉर्म डेटा को एक्सफ़िल्ट्रेट करते हैं। |
| 03 | 03-third-party-script-sim.sh | curl, playwright | बाहरी JavaScript स्रोतों को संदर्भित करने वाले अनुरोधों को इंजेक्ट करके और पेज संदर्भ में अनधिकृत स्क्रिप्ट लोड करने का प्रयास करके समझौता किए गए थर्ड-पार्टी स्क्रिप्ट का अनुकरण करता है। |
अपेक्षित F5 XC व्यवहार: क्लाइंट-साइड डिफेंस को संरक्षित पेज में अनधिकृत स्क्रिप्ट संशोधनों का पता लगाना चाहिए। CSD डैशबोर्ड नए स्क्रिप्ट स्रोतों, संशोधित DOM तत्वों, और डेटा एक्सफ़िल्ट्रेशन प्रयासों के लिए अलर्ट दिखाएगा। यह CSD Phase 2 कार्यक्षमता को मान्य करता है।
juice-shop-exploits
Section titled “juice-shop-exploits”स्क्रिप्ट: 12 | अनुमानित अवधि: 10-18 मिनट
OWASP Juice Shop चैलेंज शोषण। इसमें SQL इंजेक्शन लॉगिन बायपास, SQL इंजेक्शन सर्च यूनियन, XSS DOM रिफ्लेक्टेड, XSS स्टोर्ड API, IDOR बास्केट एक्सेस, एडमिन सेक्शन एक्सेस, जाली फ़ीडबैक, नल बाइट फ़ाइल एक्सेस, सर्च में रिफ्लेक्टेड XSS, HTTP हेडर इंजेक्शन, दोहरावदार पंजीकरण, और लॉगिन ब्रूट-फोर्स शामिल हैं। Juice Shop एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF), Bot उन्नत रक्षा
mitre-attack
Section titled “mitre-attack”स्क्रिप्ट: 8 | अनुमानित अवधि: 10-15 मिनट
MITRE ATT&CK फ्रेमवर्क टैक्टिक सिम्युलेशन। इसमें टोह (बाहरी स्कैनिंग), प्रारंभिक पहुँच (क्रेडेंशियल स्टफिंग), निष्पादन (कमांड इंजेक्शन), क्रेडेंशियल एक्सेस (डिफ़ॉल्ट पासवर्ड), खोज (डायरेक्टरी एन्यूमरेशन), लेटरल मूवमेंट सिम्युलेशन, संग्रह (डेटा स्क्रैपिंग), और एक्सफ़िल्ट्रेशन सिम्युलेशन शामिल हैं। संरचित खतरा कवरेज रिपोर्टिंग के लिए प्रत्येक स्क्रिप्ट को एक विशिष्ट MITRE ATT&CK टैक्टिक से मैप करता है। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF), Bot उन्नत रक्षा, API सुरक्षा
owasp-scanning
Section titled “owasp-scanning”स्क्रिप्ट: 10 | अनुमानित अवधि: 20-35 मिनट
समर्पित भेद्यता स्कैनर का उपयोग करके व्यापक OWASP स्कैनिंग सूट। इसमें ZAP बेसलाइन स्कैन, ZAP एक्टिव स्कैन, Nikto फुल स्कैन, Nuclei फुल स्कैन, Nmap भेद्यता स्कैन, SSL/TLS ऑडिट, डायरेक्टरी फ़ज़िंग, सबडोमेन एन्यूमरेशन, तकनीक फिंगरप्रिंटिंग, और संयुक्त OWASP रिपोर्ट जनरेशन शामिल हैं। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF), वेब ऐप स्कैनिंग
performance-testing
Section titled “performance-testing”स्क्रिप्ट: 12 | अनुमानित अवधि: 15-30 मिनट
विभिन्न लोड पैटर्न के अंतर्गत प्रदर्शन विशेषताओं का परीक्षण। इसमें कंकरेंसी रैंप, प्रति-ऐप थ्रूपुट, सस्टेन्ड लोड, कनेक्शन चर्न, मिश्रित हमला+लोड, स्पाइक टेस्टिंग, एंड्योरेंस टेस्ट, ब्रेकपॉइंट डिस्कवरी, रिस्पॉन्स टाइम पर्सेंटाइल, लोड के अंतर्गत एरर रेट, रिसोर्स एग्ज़ॉशन, और लेटेंसी डिस्ट्रीब्यूशन विश्लेषण शामिल हैं। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: DDoS सुरक्षा, रेट लिमिटिंग
reconnaissance
Section titled “reconnaissance”स्क्रिप्ट: 6 | अनुमानित अवधि: 8-15 मिनट
लक्ष्य इन्फ्रास्ट्रक्चर के विरुद्ध नेटवर्क स्कैनिंग, सर्विस एन्यूमरेशन, और डायरेक्टरी ब्रूट-फोर्सिंग। इसमें nmap सर्विस डिटेक्शन, masscan पोर्ट स्वीप, डायरेक्टरी ब्रूट-फोर्सिंग, सबडोमेन एन्यूमरेशन, वेब टेक्नोलॉजी फिंगरप्रिंटिंग, और DNS टोह शामिल हैं। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF) / Bot उन्नत रक्षा
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | लक्ष्य के HTTP/HTTPS पोर्ट के विरुद्ध सर्विस वर्शन डिटेक्शन और डिफ़ॉल्ट स्क्रिप्ट स्कैन। |
| 02 | 02-masscan-sweep.sh | masscan | रेट लिमिटिंग के साथ सामान्य वेब पोर्ट (80, 443, 8080, 8443) का हाई-स्पीड पोर्ट स्कैन। |
| 03 | 03-gobuster-dirs.sh | gobuster | सभी एप्लिकेशन प्रीफ़िक्स के विरुद्ध SecLists सामान्य वर्डलिस्ट का उपयोग करके डायरेक्टरी ब्रूट-फोर्सिंग। |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | लक्ष्य डोमेन के लिए पैसिव सबडोमेन एन्यूमरेशन, फिर खोजे गए होस्ट का HTTP प्रोबिंग। |
| 05 | 05-whatweb-fingerprint.sh | whatweb | लक्ष्य और सभी एप्लिकेशन पथों की वेब टेक्नोलॉजी फिंगरप्रिंटिंग। |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | DNS रिकॉर्ड एन्यूमरेशन, ज़ोन ट्रांसफर प्रयास, और लक्ष्य डोमेन के लिए रिवर्स लुकअप। |
अपेक्षित F5 XC व्यवहार: वेब ऐप फ़ायरवॉल (WAF) को स्कैनिंग गतिविधि का पता लगाना और लॉग करना चाहिए। Bot उन्नत रक्षा तीव्र अनुक्रमिक अनुरोधों को स्वचालित के रूप में वर्गीकृत कर सकती है। सुरक्षा इवेंट डैशबोर्ड टोह सिग्नेचर और स्कैनिंग उपकरण User-Agent स्ट्रिंग दिखाएगा।
restaurant-exploits
Section titled “restaurant-exploits”स्क्रिप्ट: 11 | अनुमानित अवधि: 10-18 मिनट
Restaurant API एप्लिकेशन के विरुद्ध OWASP API सुरक्षा Top 10 2023 परीक्षण। इसमें रजिस्टर/auth, BOLA प्रोफ़ाइल, BOLA ऑर्डर, BOPLA मास असाइनमेंट, BFLA प्रिविलेज एस्केलेशन, रेट लिमिटिंग बायपास, SQL इंजेक्शन मेनू, कमांड इंजेक्शन डिस्क स्टैट्स, SSRF इमेज URL, JWT कमज़ोर सीक्रेट, और संवेदनशील डेटा एक्सपोज़र शामिल हैं। Restaurant API एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: API सुरक्षा
ssl-scanning
Section titled “ssl-scanning”स्क्रिप्ट: 3 | अनुमानित अवधि: 3-5 मिनट
F5 XC लोड बैलेंसर के HTTPS एंडपॉइंट का TLS/SSL कॉन्फ़िगरेशन विश्लेषण। सिफर सूट, प्रोटोकॉल वर्शन, प्रमाणपत्र विवरण एन्यूमरेट करता है, और ज्ञात TLS भेद्यताओं की जाँच करता है। F5 XC लोड बैलेंसर एंडपॉइंट को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF) (सूचनात्मक)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | समर्थित सिफर सूट, प्रोटोकॉल वर्शन, और प्रमाणपत्र विवरण एन्यूमरेट करता है। |
| 02 | 02-sslyze.sh | sslyze | प्रमाणपत्र वैलिडेशन, सिफर सूट क्रम, और भेद्यता जाँच (Heartbleed, ROBOT, आदि) सहित व्यापक TLS विश्लेषण। |
| 03 | 03-testssl.sh | testssl.sh | testssl.sh फ्रेमवर्क का उपयोग करके पूर्ण TLS मूल्यांकन। प्रोटोकॉल समर्थन, सिफर प्राथमिकताएँ, हेडर विश्लेषण, और ज्ञात भेद्यताओं का परीक्षण करता है। |
अपेक्षित F5 XC व्यवहार: SSL स्कैनिंग असामान्य सिफर सूट प्रस्तावों के साथ कई TLS हैंडशेक उत्पन्न करती है। जबकि F5 XC आमतौर पर इन्हें ब्लॉक नहीं करता, ट्रैफ़िक पैटर्न एक्सेस लॉग में दृश्यमान होता है। प्राथमिक मूल्य यह सत्यापित करना है कि F5 XC TLS कॉन्फ़िगरेशन सुरक्षा सर्वोत्तम प्रथाओं को पूरा करती है।
traffic-generation
Section titled “traffic-generation”स्क्रिप्ट: 4 | अनुमानित अवधि: 5-10 मिनट (कॉन्फ़िगरेबल)
बेसलाइन माप और लोड परीक्षण के लिए उच्च-मात्रा वैध HTTP ट्रैफ़िक। हमले सूट ट्रैफ़िक से तुलना के लिए F5 XC एनालिटिक्स में सामान्य ट्रैफ़िक पैटर्न स्थापित करता है। सभी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: सभी (बेसलाइन तुलना)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | मानक ब्राउज़र User-Agent के साथ सभी एप्लिकेशन पथों पर अनुक्रमिक HTTP GET अनुरोध। F5 XC एनालिटिक्स में सामान्य ट्रैफ़िक का बेसलाइन स्थापित करता है। |
| 02 | 02-concurrent-load.sh | curl | एकाधिक समवर्ती कनेक्शन के साथ curl का उपयोग करके समानांतर HTTP अनुरोध। लोड हैंडलिंग का परीक्षण करता है और थ्रूपुट बेसलाइन स्थापित करता है। |
| 03 | 03-mixed-methods.sh | curl | वैध पेलोड के साथ API एंडपॉइंट के विरुद्ध मिश्रित HTTP मेथड (GET, POST, PUT, DELETE)। हमले के ट्रैफ़िक से तुलना के लिए सामान्य API ट्रैफ़िक पैटर्न उत्पन्न करता है। |
| 04 | 04-user-journey.sh | playwright | मानक ब्राउज़र सेटिंग के साथ Playwright का उपयोग करके एक यथार्थवादी उपयोगकर्ता यात्रा का अनुकरण करता है: पेज ब्राउज़ करना, उत्पाद खोजना, फ़ॉर्म भरना, और एप्लिकेशन के बीच नेविगेट करना। |
अपेक्षित F5 XC व्यवहार: इस सूट में सभी अनुरोधों को वेब ऐप फ़ायरवॉल (WAF) या Bot उन्नत रक्षा हस्तक्षेप के बिना पास होना चाहिए। एनालिटिक्स डैशबोर्ड में “स्वच्छ” ट्रैफ़िक उत्पन्न करने के लिए इस सूट का उपयोग करें, फिर वैध और दुर्भावनापूर्ण अनुरोध पैटर्न के बीच अंतर प्रदर्शित करने के लिए हमले सूट ट्रैफ़िक से तुलना करें।
waf-encoding-evasion
Section titled “waf-encoding-evasion”स्क्रिप्ट: 7 | अनुमानित अवधि: 5-10 मिनट
मल्टी-लेयर एन्कोडिंग इवेज़न हमले जो यह परीक्षण करने के लिए डिज़ाइन किए गए हैं कि क्या WAF निरीक्षण से पहले पेलोड को ठीक से नॉर्मलाइज़ और डीकोड करता है। एकल, दोहरे, और तिहरे URL एन्कोडिंग; HTML एंटिटी एन्कोडिंग (दशमलव, हेक्स, नामित, शून्य-पैडेड); Unicode/UTF-8 सम्मिलन (शून्य-चौड़ाई स्थान, BOM, फुलविड्थ कैरेक्टर, सॉफ्ट हाइफन, ओवरलॉन्ग सीक्वेंस); मिश्रित/नेस्टेड मल्टी-लेयर एन्कोडिंग (URL-एन्कोडेड HTML एंटिटी, एंटिटी के अंदर डबल-URL, 3-लेयर स्टैक); नल बाइट इंजेक्शन; IIS %uXXXX एन्कोडिंग; केस मैनिपुलेशन; चंक्ड ट्रांसफर एन्कोडिंग बॉडी स्प्लिटिंग; Base64 पैरामीटर इवेज़न; और हेडर/कुकी एन्कोडेड पेलोड को कवर करता है। किसी भी एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF) (एन्कोडिंग नॉर्मलाइज़ेशन गहराई)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | एकाधिक एंडपॉइंट पथों में SQLi, XSS, और पाथ ट्रैवर्सल पेलोड का एकल, दोहरा, और तिहरा URL एन्कोडिंग। परीक्षण करता है कि क्या WAF URL पैरामीटर को पुनरावर्ती रूप से डीकोड करता है। |
| 02 | 02-html-entity-encoding.sh | curl, python3 | GET पैरामीटर और POST बॉडी दोनों में हमले पेलोड का दशमलव, हेक्स, नामित, और शून्य-पैडेड HTML एंटिटी एन्कोडिंग। {{7*7}} के माध्यम से टेम्प्लेट इंजेक्शन शामिल है। |
| 03 | 03-unicode-utf8-evasion.sh | curl | SQL कीवर्ड और XSS टैग में शून्य-चौड़ाई स्थान (U+200B), BOM (U+FEFF), फुलविड्थ कैरेक्टर, सॉफ्ट हाइफन, और ZWNJ सम्मिलन। ओवरलॉन्ग UTF-8 सीक्वेंस (2-बाइट और 3-बाइट) का परीक्षण करता है। |
| 04 | 04-mixed-nested-encoding.sh | curl | मल्टी-लेयर पेलोड: URL-एन्कोडेड HTML एंटिटी, एंटिटी के अंदर डबल-URL, ट्रिपल-लेयर स्टैक, Unicode एस्केप के साथ JSON बॉडी (<), और उपयोगकर्ता का विशिष्ट {{7*7}} टेम्प्लेट इंजेक्शन पैटर्न। |
| 05 | 05-null-byte-iis-base64.sh | curl | एक्सटेंशन बायपास के लिए नल बाइट इंजेक्शन (%00), IIS %uXXXX Unicode एन्कोडिंग, और डीकोड फ़्लैग के साथ URL पैरामीटर में Base64-एन्कोडेड पेलोड। |
| 06 | 06-case-chunked-evasion.sh | curl | एन्कोडिंग के साथ संयुक्त केस रैंडमाइज़ेशन (%3CsCrIpT%3E), HTTP चंक में SQL/XSS कीवर्ड विभाजित करने के लिए चंक्ड ट्रांसफर एन्कोडिंग, Content-Length/Transfer-Encoding संघर्ष जाँच, और वैकल्पिक पाथ सेपरेटर (%5c, %c0%af)। |
| 07 | 07-header-cookie-evasion.sh | curl | Cookie, Referer, User-Agent, X-Forwarded-For, और X-Original-URL हेडर के माध्यम से इंजेक्ट किए गए एन्कोडेड हमले पेलोड। परीक्षण करता है कि क्या WAF केवल क्वेरी पैरामीटर और POST बॉडी नहीं, बल्कि सभी HTTP हेडर फ़ील्ड का निरीक्षण और डीकोड करता है। |
अपेक्षित F5 XC व्यवहार: एक ठीक से कॉन्फ़िगर किया गया WAF पैटर्न मिलान से पहले सभी एन्कोडिंग परतों को नॉर्मलाइज़ करना चाहिए। एकल-एन्कोडेड पेलोड तुरंत ब्लॉक होने चाहिए। दोहरे और तिहरे एन्कोडिंग परीक्षण WAF की डीकोड पाइपलाइन की गहराई प्रकट करते हैं। Unicode सम्मिलन परीक्षण प्रकट करते हैं कि क्या कीवर्ड मिलान से पहले अदृश्य कैरेक्टर हटाए जाते हैं। ऐसे परिणाम जहाँ एन्कोडेड वेरिएंट पास होते हैं जबकि सादे-टेक्स्ट समकक्ष ब्लॉक होते हैं, WAF नीति में नॉर्मलाइज़ेशन अंतराल दर्शाते हैं।
web-app-attacks
Section titled “web-app-attacks”स्क्रिप्ट: 6 | अनुमानित अवधि: 12-20 मिनट
F5 XC के माध्यम से Juice Shop और DVWA के विरुद्ध OWASP Top 10 वेब एप्लिकेशन भेद्यता परीक्षण। इसमें SQL इंजेक्शन, XSS, कमांड इंजेक्शन, पाथ ट्रैवर्सल, Nikto स्कैनिंग, और Nuclei टेम्प्लेट-आधारित स्कैनिंग शामिल हैं। Juice Shop और DVWA एप्लिकेशन को लक्षित करता है।
F5 XC फ़ीचर: वेब ऐप फ़ायरवॉल (WAF)
| क्रम | स्क्रिप्ट | उपकरण | विवरण |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | Juice Shop सर्च API और DVWA SQLi एंडपॉइंट के विरुद्ध SQL इंजेक्शन पेलोड। sqlmap स्वचालित स्कैन चलाता है फिर 10 प्रत्यक्ष curl-आधारित इंजेक्शन पेलोड भेजता है। |
| 02 | 02-xss.sh | dalfox, curl | Juice Shop और DVWA XSS रिफ्लेक्टेड/स्टोर्ड एंडपॉइंट के विरुद्ध क्रॉस-साइट स्क्रिप्टिंग। dalfox स्वचालित स्कैन चलाता है फिर स्क्रिप्ट टैग, इवेंट हैंडलर, और कुकी एक्सफ़िल्ट्रेशन सहित 12 प्रत्यक्ष XSS पेलोड भेजता है। |
| 03 | 03-command-injection.sh | curl | DVWA exec एंडपॉइंट के विरुद्ध OS कमांड इंजेक्शन पेलोड। पाइप चेन, सेमीकोलन, URL-एन्कोडेड न्यूलाइन, और रिवर्स शेल पैटर्न सहित 12 पेलोड भेजता है। |
| 04 | 04-path-traversal.sh | curl | एकाधिक एप्लिकेशन एंडपॉइंट के विरुद्ध डायरेक्टरी ट्रैवर्सल। 6 एंडपॉइंट पथों में मानक ../ ट्रैवर्सल, URL-एन्कोडेड वेरिएंट, डबल-एन्कोडेड वेरिएंट, नल-बाइट वेरिएंट, और Unicode वेरिएंट का परीक्षण करता है। |
| 05 | 05-nikto-scan.sh | nikto | 120-सेकंड समय सीमा के साथ पूर्ण वेब सर्वर भेद्यता स्कैन। विविध HTTP अनुरोध उत्पन्न करता है जो WAF सिग्नेचर मिलान को ट्रिगर करते हैं। |
| 06 | 06-nuclei-scan.sh | nuclei | मध्यम, उच्च, और क्रिटिकल गंभीरता स्तरों पर टेम्प्लेट-आधारित भेद्यता स्कैनिंग। 50 अनुरोध/सेकंड पर रेट-लिमिटेड। |
अपेक्षित F5 XC व्यवहार: वेब ऐप फ़ायरवॉल (WAF) को SQL इंजेक्शन, XSS, कमांड इंजेक्शन, और पाथ ट्रैवर्सल पेलोड वाले अनुरोधों को ब्लॉक या फ़्लैग करना चाहिए। सुरक्षा इवेंट डैशबोर्ड प्रत्येक ब्लॉक किए गए अनुरोध के लिए उल्लंघन श्रेणियाँ, सिग्नेचर IDs, और अनुरोध विवरण दिखाएगा।