Suite di traffico
Ogni suite di traffico è una directory sotto /opt/traffic-generator/suites/ contenente script shell numerati eseguiti in ordine da runner.sh. Ogni script accetta l’FQDN di destinazione come primo argomento e scrive l’output sia su stdout che nella directory dei risultati.
api-attacks
Sezione intitolata “api-attacks”Script: 4 | Durata stimata: 10-17 minuti
Test OWASP API Security Top 10 contro VAmPI tramite F5 XC. Registra un utente di test, ottiene un token di autenticazione, quindi testa BOLA, autenticazione a forza bruta, esposizione eccessiva di dati, autorizzazione a livello di funzione non funzionante, schemi SSRF, SQL injection contro gli endpoint delle API REST, scoperta di parametri nascosti e fuzzing degli endpoint. Si rivolge all’applicazione VAmPI.
Funzionalità F5 XC: Sicurezza API / Rilevamento API
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | Suite completa di test OWASP API Top 10. Registra un utente di test, ottiene un token di autenticazione, quindi testa BOLA (accesso ai dati di altri utenti), autenticazione a forza bruta, esposizione eccessiva di dati, autorizzazione a livello di funzione non funzionante, schemi SSRF e rilevamento di configurazioni errate della sicurezza. |
| 02 | 02-sqlmap-api.sh | sqlmap | SQL injection contro gli endpoint dell’API REST di VAmPI: ricerca utente, login (POST) e registrazione (POST) con payload JSON. |
| 03 | 03-arjun-param-discovery.sh | arjun | Scoperta di parametri nascosti su endpoint di Juice Shop, DVWA e VAmPI. Scopre parametri di query non documentati che potrebbero accettare payload di injection. |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | Fuzzing in due fasi: scoperta degli endpoint tramite una wordlist di percorsi API comuni (api, swagger, graphql, admin, .env, .git) su tutti i prefissi delle applicazioni, quindi fuzzing dei metodi HTTP (GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND) contro gli endpoint principali. |
Comportamento atteso di F5 XC: Il Rilevamento API dovrebbe mappare gli endpoint dell’API VAmPI e identificare schemi di richiesta insoliti. Le policy di Sicurezza API dovrebbero segnalare i tentativi di accesso non autorizzato, i payload di injection nei body JSON e gli schemi di enumerazione. L’inventario API in F5 XC mostrerà gli endpoint rilevati con i conteggi delle richieste.
bot-simulation
Sezione intitolata “bot-simulation”Script: 4 | Durata stimata: 5-10 minuti
Attività automatizzata del browser e schemi di scansione simili a bot tramite F5 XC. Include Chrome headless, Puppeteer con plugin stealth, scansione rapida e interazione automatizzata con i moduli. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: Difesa Bot
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | Navigazione con Chromium headless: carica la destinazione, naviga tra i percorsi delle applicazioni, estrae titoli di pagina e contenuti, acquisisce screenshot. Genera traffico basato su browser senza plugin stealth (rilevabile come automazione). |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | Navigazione stealth tramite puppeteer-extra con il plugin stealth. Tenta di eludere il rilevamento dei bot modificando le proprietà del navigator, WebGL e altri fingerprint del browser. |
| 03 | 03-rapid-crawl.sh | curl, wget | Richieste HTTP ad alta frequenza tramite curl e wget in rapida successione. Simula il comportamento di uno scraper senza ritardi tra le richieste e rotazione aggressiva dello User-Agent. |
| 04 | 04-form-interaction.sh | playwright | Compilazione e invio automatizzato di moduli contro il login di DVWA, la registrazione di Juice Shop e gli endpoint dell’API VAmPI tramite le API di interazione con i moduli di Playwright. |
Comportamento atteso di F5 XC: La Difesa Bot dovrebbe classificare il traffico come automatizzato in base all’analisi del fingerprint del browser, alla tempistica delle richieste e ai risultati delle challenge JavaScript. Chrome headless senza stealth dovrebbe essere rilevato immediatamente. I test con Puppeteer stealth verificano se le tecniche avanzate di evasione aggirano il rilevamento. Il dashboard della Difesa Bot mostrerà le categorie di classificazione dei bot e le azioni di mitigazione.
cdn-load-testing
Sezione intitolata “cdn-load-testing”Script: 18 | Durata stimata: 20-30 minuti
Test del comportamento della cache CDN e della protezione del server di origine. Include throughput di base, isolamento delle stringhe di query, variazione di accept-encoding, simulazione del thundering herd, bypass POST/PUT, collisione delle chiavi di cache, GET condizionale, richiesta di intervallo, simulazione di purge, esaurimento del pool di connessioni, ottimizzazione keepalive, overhead dell’handshake TLS, caching di oggetti di grandi dimensioni, failover multi-origine, limitazione della frequenza, test del rapporto gzip, multiplexing HTTP/2 e benchmark kraken combinato. Si rivolge all’applicazione Simulatore CDN.
Funzionalità F5 XC: Integrazione CDN
crapi-exploits
Sezione intitolata “crapi-exploits”Script: 16 | Durata stimata: 15-25 minuti
Sfruttamento delle sfide di OWASP crAPI (Completely Ridiculous API). Include registrazione/autenticazione, posizione del veicolo BOLA, report meccanico BOLA, forza bruta OTP, meccanismi di esposizione dei dati, esposizione eccessiva dei dati, ordini di mass assignment, validazione coupon SSRF, SQL injection NoSQL, manipolazione JWT, dashboard IDOR, bypass 2FA, accesso API interno, inquinamento dei parametri lato server, eliminazione utente e IDOR di caricamento video. Si rivolge all’applicazione crAPI.
Funzionalità F5 XC: Sicurezza API
csd-demo-attacks
Sezione intitolata “csd-demo-attacks”Script: 5 (JavaScript) | Durata stimata: 3-5 minuti
Attacchi di injection JavaScript lato client. Include script di skimmer di carte, formjacker, keylogger, cryptominer e dirottamento del DOM. Testa gli attacchi alla supply chain lato client in stile Magecart che F5 XC Client-Side Defense rileva e blocca. Si rivolge all’applicazione CSD Demo.
Funzionalità F5 XC: Difesa lato client
demoapp-attacks
Sezione intitolata “demoapp-attacks”Script: 2 | Durata stimata: 2-3 minuti
Payload di attacco mirati agli endpoint di test WAF integrati di F5 DemoApp (/WAF/SQL, /WAF/XSS, /WAF/DIR). Invia payload di SQL injection, XSS e path traversal direttamente agli endpoint progettati per dimostrare il comportamento di blocco del WAF. Utilizzare questa suite quando si punta al server dei contenuti DemoApp invece delle applicazioni standard del server di origine.
Funzionalità F5 XC: WAF (Firewall per applicazioni web (WAF))
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | 15 payload di SQL injection contro /WAF/SQL?age= inclusi UNION SELECT, DROP TABLE, WAITFOR DELAY, xp_cmdshell, bypass basato su commenti e payload a logica booleana. |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | 18 payload XSS contro /WAF/XSS?update= inclusi tag script, gestori di eventi (onerror, onload, ontoggle, onfocus), eval base64, espressione di stile, payload poliglotta ed esfiltrazione di cookie. |
Comportamento atteso di F5 XC: Il WAF dovrebbe bloccare le richieste contenenti payload di SQL injection e XSS e restituire una pagina di blocco. Il dashboard degli eventi di sicurezza mostrerà le categorie di violazione e le corrispondenze delle firme per ogni richiesta bloccata.
dvga-exploits
Sezione intitolata “dvga-exploits”Script: 9 | Durata stimata: 8-12 minuti
Sfruttamento di vulnerabilità specifiche di GraphQL contro la Damn Vulnerable GraphQL Application. Include DoS con query batch, ricorsione profonda, duplicazione di campi, SQL injection tramite filtro, XSS tramite createPaste, DoS basato su alias, abuso dell’introspezione, bypass dell’autorizzazione e divulgazione di informazioni. Si rivolge all’applicazione DVGA.
Funzionalità F5 XC: Sicurezza API (GraphQL)
dvwa-exploits
Sezione intitolata “dvwa-exploits”Script: 14 | Durata stimata: 15-25 minuti
Test OWASP Top 10 contro la Damn Vulnerable Web Application. Include forza bruta, command injection, modifica password CSRF, inclusione di file, caricamento di file, SQL injection (blind), SQL injection (union), XSS (DOM), XSS (reflected), XSS (stored), bypass CAPTCHA, ID di sessione deboli, CORS non sicuro e reindirizzamento aperto. Si rivolge all’applicazione DVWA.
Funzionalità F5 XC: WAF
javascript-exploits
Sezione intitolata “javascript-exploits”Script: 3 | Durata stimata: 3-5 minuti
Schemi di injection di script lato client e manipolazione del DOM che attivano il rilevamento della Difesa lato client. Include injection di script inline che imitano skimmer in stile Magecart, manipolazione del DOM tramite Chromium headless e simulazione di script di terze parti. Si rivolge all’applicazione CSD Demo.
Funzionalità F5 XC: Difesa lato client (CSD)
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Invia richieste contenenti payload JavaScript inline progettati per imitare skimmer di carte di credito in stile Magecart e script di esfiltrazione di dati. |
| 02 | 02-dom-manipulation.sh | playwright | Utilizza Chromium headless per caricare la pagina demo CSD e iniettare modifiche al DOM: aggiunta di tag script, modifica delle azioni dei moduli e inserimento di iframe invisibili che esfiltrano i dati dei moduli. |
| 03 | 03-third-party-script-sim.sh | curl, playwright | Simula script di terze parti compromessi iniettando richieste che fanno riferimento a sorgenti JavaScript esterne e tentando di caricare script non autorizzati nel contesto della pagina. |
Comportamento atteso di F5 XC: La Difesa lato client dovrebbe rilevare modifiche non autorizzate agli script nella pagina protetta. Il dashboard CSD mostrerà avvisi per nuove sorgenti di script, elementi DOM modificati e tentativi di esfiltrazione di dati. Ciò convalida la funzionalità CSD Phase 2.
juice-shop-exploits
Sezione intitolata “juice-shop-exploits”Script: 12 | Durata stimata: 10-18 minuti
Sfruttamento delle sfide di OWASP Juice Shop. Include bypass del login tramite SQL injection, union di ricerca SQL injection, XSS DOM reflected, XSS stored API, accesso al basket IDOR, accesso alla sezione amministrativa, feedback falsificato, accesso a file con null byte, XSS reflected nella ricerca, HTTP header injection, registrazione ripetitiva e forza bruta del login. Si rivolge all’applicazione Juice Shop.
Funzionalità F5 XC: WAF, Difesa Bot
mitre-attack
Sezione intitolata “mitre-attack”Script: 8 | Durata stimata: 10-15 minuti
Simulazione delle tattiche del framework MITRE ATT&CK. Include ricognizione (scansione esterna), accesso iniziale (credential stuffing), esecuzione (command injection), accesso alle credenziali (password predefinite), discovery (enumerazione delle directory), simulazione di movimento laterale, raccolta (data scraping) ed esfiltrazione simulata. Mappa ogni script a una tattica MITRE ATT&CK specifica per la reportistica strutturata sulla copertura delle minacce. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: WAF, Difesa Bot, Sicurezza API
owasp-scanning
Sezione intitolata “owasp-scanning”Script: 10 | Durata stimata: 20-35 minuti
Suite di scansione OWASP completa tramite scanner di vulnerabilità dedicati. Include scansione baseline ZAP, scansione attiva ZAP, scansione completa Nikto, scansione completa Nuclei, scansione delle vulnerabilità Nmap, audit SSL/TLS, fuzzing delle directory, enumerazione dei sottodomini, fingerprinting delle tecnologie e generazione del report OWASP combinato. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: WAF, Scansione delle applicazioni web
performance-testing
Sezione intitolata “performance-testing”Script: 12 | Durata stimata: 15-30 minuti
Test delle caratteristiche di prestazione sotto vari schemi di carico. Include rampa di concorrenza, throughput per applicazione, carico sostenuto, rotazione delle connessioni, attacco+carico misto, spike testing, test di resistenza, scoperta del punto di rottura, percentili dei tempi di risposta, tasso di errore sotto carico, esaurimento delle risorse e analisi della distribuzione della latenza. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: Protezione DDoS, Limitazione della frequenza
reconnaissance
Sezione intitolata “reconnaissance”Script: 6 | Durata stimata: 8-15 minuti
Scansione della rete, enumerazione dei servizi e brute-forcing delle directory contro l’infrastruttura di destinazione. Include rilevamento dei servizi nmap, sweep delle porte masscan, brute-forcing delle directory, enumerazione dei sottodomini, fingerprinting delle tecnologie web e ricognizione DNS. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: WAF / Difesa Bot
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | Rilevamento della versione dei servizi e scansione degli script predefiniti sulle porte HTTP/HTTPS della destinazione. |
| 02 | 02-masscan-sweep.sh | masscan | Scansione ad alta velocità delle porte web comuni (80, 443, 8080, 8443) con limitazione della frequenza. |
| 03 | 03-gobuster-dirs.sh | gobuster | Brute-forcing delle directory tramite la wordlist comune di SecLists su tutti i prefissi delle applicazioni. |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | Enumerazione passiva dei sottodomini per il dominio di destinazione, quindi probing HTTP degli host rilevati. |
| 05 | 05-whatweb-fingerprint.sh | whatweb | Fingerprinting delle tecnologie web della destinazione e di tutti i percorsi delle applicazioni. |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | Enumerazione dei record DNS, tentativi di trasferimento di zona e reverse lookup per il dominio di destinazione. |
Comportamento atteso di F5 XC: Il WAF dovrebbe rilevare e registrare l’attività di scansione. La Difesa Bot potrebbe classificare le richieste sequenziali rapide come automatizzate. Il dashboard degli eventi di sicurezza mostrerà le firme di ricognizione e le stringhe User-Agent degli strumenti di scansione.
restaurant-exploits
Sezione intitolata “restaurant-exploits”Script: 11 | Durata stimata: 10-18 minuti
Test OWASP API Security Top 10 2023 contro l’applicazione Restaurant API. Include registrazione/autenticazione, profilo BOLA, ordini BOLA, mass assignment BOPLA, escalation dei privilegi BFLA, bypass della limitazione della frequenza, SQL injection nel menu, command injection nelle statistiche del disco, URL immagine SSRF, segreto debole JWT ed esposizione di dati sensibili. Si rivolge all’applicazione Restaurant API.
Funzionalità F5 XC: Sicurezza API
ssl-scanning
Sezione intitolata “ssl-scanning”Script: 3 | Durata stimata: 3-5 minuti
Analisi della configurazione TLS/SSL dell’endpoint HTTPS del load balancer F5 XC. Enumera le cipher suite, le versioni del protocollo, i dettagli del certificato e verifica la presenza di vulnerabilità TLS note. Si rivolge all’endpoint del load balancer F5 XC.
Funzionalità F5 XC: WAF (informativo)
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | Enumera le cipher suite supportate, le versioni del protocollo e i dettagli del certificato. |
| 02 | 02-sslyze.sh | sslyze | Analisi TLS completa inclusa la validazione del certificato, l’ordinamento delle cipher suite e i controlli delle vulnerabilità (Heartbleed, ROBOT, ecc.). |
| 03 | 03-testssl.sh | testssl.sh | Valutazione TLS completa tramite il framework testssl.sh. Testa il supporto dei protocolli, le preferenze delle cipher, l’analisi degli header e le vulnerabilità note. |
Comportamento atteso di F5 XC: La scansione SSL genera molti handshake TLS con proposte di cipher suite insolite. Sebbene F5 XC generalmente non le blocchi, lo schema di traffico è visibile nei log di accesso. Il valore principale è la verifica che la configurazione TLS di F5 XC soddisfi le best practice di sicurezza.
traffic-generation
Sezione intitolata “traffic-generation”Script: 4 | Durata stimata: 5-10 minuti (configurabile)
Traffico HTTP legittimo ad alto volume per la misurazione di riferimento e i test di carico. Stabilisce schemi di traffico normale nelle analisi di F5 XC per il confronto con il traffico delle suite di attacco. Si rivolge a tutte le applicazioni.
Funzionalità F5 XC: Tutto (confronto di riferimento)
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | Richieste HTTP GET sequenziali a tutti i percorsi delle applicazioni con User-Agent standard del browser. Stabilisce un riferimento di traffico normale nelle analisi di F5 XC. |
| 02 | 02-concurrent-load.sh | curl | Richieste HTTP parallele tramite curl con più connessioni simultanee. Testa la gestione del carico e stabilisce i riferimenti di throughput. |
| 03 | 03-mixed-methods.sh | curl | Metodi HTTP misti (GET, POST, PUT, DELETE) contro gli endpoint API con payload validi. Genera schemi di traffico API normale per il confronto con il traffico degli attacchi. |
| 04 | 04-user-journey.sh | playwright | Simula un percorso utente realistico: navigazione tra le pagine, ricerca di prodotti, compilazione di moduli e navigazione tra le applicazioni tramite Playwright con impostazioni browser standard. |
Comportamento atteso di F5 XC: Tutte le richieste in questa suite dovrebbero transitare senza intervento del WAF o della Difesa Bot. Utilizzare questa suite per generare traffico “pulito” nel dashboard delle analisi, quindi confrontarlo con il traffico delle suite di attacco per dimostrare la differenza tra schemi di richieste legittime e dannose.
waf-encoding-evasion
Sezione intitolata “waf-encoding-evasion”Script: 7 | Durata stimata: 5-10 minuti
Attacchi di evasione con codifica multi-livello progettati per testare se un WAF normalizza e decodifica correttamente i payload prima dell’ispezione. Copre codifica URL singola, doppia e tripla; codifica di entità HTML (decimale, esadecimale, nominale, con zeri iniziali); inserimento Unicode/UTF-8 (spazio a larghezza zero, BOM, caratteri fullwidth, trattino morbido, sequenze sovralungo); codifica multi-livello mista/annidata (entità HTML con codifica URL, URL doppio all’interno di entità, stack a 3 livelli); injection di null byte; codifica IIS %uXXXX; manipolazione delle maiuscole; suddivisione del body con codifica di trasferimento chunked; evasione tramite parametri Base64 e payload codificati in header/cookie. Si rivolge a qualsiasi applicazione.
Funzionalità F5 XC: WAF (profondità di normalizzazione della codifica)
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | Codifica URL singola, doppia e tripla di payload SQLi, XSS e path traversal su più percorsi di endpoint. Testa se il WAF decodifica i parametri URL in modo ricorsivo. |
| 02 | 02-html-entity-encoding.sh | curl, python3 | Codifica di entità HTML decimale, esadecimale, nominale e con zeri iniziali dei payload di attacco sia in parametri GET che in body POST. Include template injection tramite {{7*7}}. |
| 03 | 03-unicode-utf8-evasion.sh | curl | Inserimento di spazio a larghezza zero (U+200B), BOM (U+FEFF), caratteri fullwidth, trattino morbido e ZWNJ nelle parole chiave SQL e nei tag XSS. Testa sequenze UTF-8 sovralungo (2 byte e 3 byte). |
| 04 | 04-mixed-nested-encoding.sh | curl | Payload multi-livello: entità HTML con codifica URL, URL doppio all’interno di entità, stack a triplo livello, body JSON con escape Unicode (<), e lo specifico schema di template injection {{7*7}} dell’utente. |
| 05 | 05-null-byte-iis-base64.sh | curl | Injection di null byte (%00) per il bypass dell’estensione, codifica Unicode IIS %uXXXX e payload con codifica Base64 nei parametri URL con flag di decodifica. |
| 06 | 06-case-chunked-evasion.sh | curl | Randomizzazione delle maiuscole combinata con codifica (%3CsCrIpT%3E), codifica di trasferimento chunked per suddividere le parole chiave SQL/XSS tra blocchi HTTP, probe di conflitto Content-Length/Transfer-Encoding e separatori di percorso alternativi (%5c, %c0%af). |
| 07 | 07-header-cookie-evasion.sh | curl | Payload di attacco codificati iniettati tramite header Cookie, Referer, User-Agent, X-Forwarded-For e X-Original-URL. Testa se il WAF ispeziona e decodifica tutti i campi dell’header HTTP, non solo i parametri di query e i body POST. |
Comportamento atteso di F5 XC: Un WAF correttamente configurato dovrebbe normalizzare tutti i livelli di codifica prima del pattern matching. I payload con codifica singola dovrebbero essere bloccati immediatamente. I test con codifica doppia e tripla rivelano la profondità della pipeline di decodifica del WAF. I test di inserimento Unicode rivelano se i caratteri invisibili vengono rimossi prima del rilevamento delle parole chiave. I risultati in cui le varianti codificate passano mentre gli equivalenti in testo normale vengono bloccati indicano lacune di normalizzazione nella policy WAF.
web-app-attacks
Sezione intitolata “web-app-attacks”Script: 6 | Durata stimata: 12-20 minuti
Test delle vulnerabilità delle applicazioni web OWASP Top 10 contro Juice Shop e DVWA tramite F5 XC. Include SQL injection, XSS, command injection, path traversal, scansione Nikto e scansione basata su template Nuclei. Si rivolge alle applicazioni Juice Shop e DVWA.
Funzionalità F5 XC: WAF (Firewall per applicazioni web (WAF))
| Ordine | Script | Strumenti | Descrizione |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | Payload di SQL injection contro l’API di ricerca di Juice Shop e l’endpoint SQLi di DVWA. Esegue scansioni automatizzate sqlmap quindi invia 10 payload di injection diretti basati su curl. |
| 02 | 02-xss.sh | dalfox, curl | Cross-site scripting contro gli endpoint XSS reflected/stored di Juice Shop e DVWA. Esegue scansioni automatizzate dalfox quindi invia 12 payload XSS diretti inclusi tag script, gestori di eventi ed esfiltrazione di cookie. |
| 03 | 03-command-injection.sh | curl | Payload di OS command injection contro l’endpoint exec di DVWA. Invia 12 payload inclusi concatenamenti pipe, punti e virgola, newline con codifica URL e schemi di reverse shell. |
| 04 | 04-path-traversal.sh | curl | Directory traversal contro più endpoint delle applicazioni. Testa traversal ../ standard, varianti con codifica URL, varianti con doppia codifica, varianti con null byte e varianti Unicode su 6 percorsi di endpoint. |
| 05 | 05-nikto-scan.sh | nikto | Scansione completa delle vulnerabilità del server web con limite di tempo di 120 secondi. Genera richieste HTTP diverse che attivano il pattern matching delle firme WAF. |
| 06 | 06-nuclei-scan.sh | nuclei | Scansione delle vulnerabilità basata su template a livelli di gravità medio, alto e critico. Limitata a 50 richieste/secondo. |
Comportamento atteso di F5 XC: Il WAF dovrebbe bloccare o segnalare le richieste contenenti payload di SQL injection, XSS, command injection e path traversal. Il dashboard degli eventi di sicurezza mostrerà le categorie di violazione, gli ID delle firme e i dettagli delle richieste per ogni richiesta bloccata.