トラフィックスイート
各トラフィックスイートは /opt/traffic-generator/suites/ 配下のディレクトリで、runner.sh によって順番に実行される番号付きシェルスクリプトを含みます。各スクリプトは最初の引数としてターゲットのFQDNを受け取り、標準出力と結果ディレクトリの両方に出力を書き込みます。
api-attacks
Section titled “api-attacks”スクリプト数: 4 | 推定所要時間: 10〜17分
F5 XC を経由した VAmPI に対する OWASP API セキュリティ Top 10 テスト。テストユーザーを登録し、認証トークンを取得した後、BOLA、ブルートフォース認証、過剰なデータ露出、機能レベルの認可の欠落、SSRF パターン、REST API エンドポイントへの SQL インジェクション、隠しパラメーターの探索、エンドポイントファジングをテストします。VAmPI アプリケーションを対象とします。
F5 XC 機能: API セキュリティ / API ディスカバリー
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | 包括的な OWASP API Top 10 テストスイート。テストユーザーを登録し、認証トークンを取得した後、BOLA(他ユーザーのデータへのアクセス)、ブルートフォース認証、過剰なデータ露出、機能レベルの認可の欠落、SSRF パターン、およびセキュリティ設定不備の調査をテストします。 |
| 02 | 02-sqlmap-api.sh | sqlmap | VAmPI REST API エンドポイント(ユーザー参照、ログイン(POST)、登録(POST))に対する JSON ペイロードを使用した SQL インジェクション。 |
| 03 | 03-arjun-param-discovery.sh | arjun | Juice Shop、DVWA、VAmPI エンドポイント全体にわたる隠しパラメーターの探索。インジェクションペイロードを受け入れる可能性のある文書化されていないクエリパラメーターを発見します。 |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | 2フェーズのファジング:全アプリケーションプレフィックスに対して一般的な API パスのワードリスト(api、swagger、graphql、admin、.env、.git)を使用したエンドポイント探索、次に主要エンドポイントに対する HTTP メソッドのファジング(GET、POST、PUT、DELETE、PATCH、OPTIONS、TRACE、PROPFIND)。 |
F5 XC で期待される動作: API ディスカバリーは VAmPI API エンドポイントをマッピングし、異常なリクエストパターンを識別します。API セキュリティポリシーは、不正アクセスの試み、JSON ボディ内のインジェクションペイロード、および列挙パターンにフラグを立てます。F5 XC の API インベントリには、リクエスト数とともに発見されたエンドポイントが表示されます。
bot-simulation
Section titled “bot-simulation”スクリプト数: 4 | 推定所要時間: 5〜10分
F5 XC を経由した自動ブラウザーアクティビティおよびボットのようなクローリングパターン。ヘッドレス Chrome、ステルスプラグインを使用した Puppeteer、高速クローリング、および自動フォームインタラクションを含みます。すべてのアプリケーションを対象とします。
F5 XC 機能: Bot 標準防御
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | ヘッドレス Chromium によるブラウジング:ターゲットを読み込み、アプリケーションパス間を移動し、ページタイトルとコンテンツを抽出し、スクリーンショットを撮影します。ステルスプラグインなしでブラウザーベースのトラフィックを生成します(自動化として検出可能)。 |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | ステルスプラグインを使用した puppeteer-extra によるステルスブラウジング。navigator プロパティ、WebGL、その他のブラウザーフィンガープリントにパッチを当てることでボット検出を回避しようとします。 |
| 03 | 03-rapid-crawl.sh | curl, wget | curl と wget を素早く連続して使用した高頻度 HTTP リクエスト。リクエスト間に遅延なく、積極的なユーザーエージェントのローテーションを行うスクレイパーの動作をシミュレートします。 |
| 04 | 04-form-interaction.sh | playwright | Playwright のフォームインタラクション API を使用して、DVWA ログイン、Juice Shop 登録、および VAmPI API エンドポイントに対する自動フォーム入力と送信。 |
F5 XC で期待される動作: Bot 標準防御は、ブラウザーフィンガープリント分析、リクエストのタイミング、および JavaScript チャレンジの結果に基づいてトラフィックを自動化として分類します。ステルスなしのヘッドレス Chrome は即座に検出されます。ステルス Puppeteer は、高度な回避技術が検出を回避するかどうかをテストします。Bot 標準防御ダッシュボードには、ボット分類カテゴリと緩和アクションが表示されます。
cdn-load-testing
Section titled “cdn-load-testing”スクリプト数: 18 | 推定所要時間: 20〜30分
CDN キャッシュ動作とオリジン保護テスト。ベースラインスループット、クエリ文字列の分離、Accept-Encoding の変化、サンダリングハード(大量同時アクセス)シミュレーション、POST/PUT バイパス、キャッシュキーの衝突、条件付き GET、Range リクエスト、パージシミュレーション、接続プールの枯渇、キープアライブの最適化、TLS ハンドシェイクのオーバーヘッド、大規模オブジェクトのキャッシュ、マルチオリジンのフェイルオーバー、レート制限、gzip 圧縮率テスト、HTTP/2 多重化、および複合 kraken ベンチマークを含みます。CDN シミュレーターアプリケーションを対象とします。
F5 XC 機能: CDN 連携
crapi-exploits
Section titled “crapi-exploits”スクリプト数: 16 | 推定所要時間: 15〜25分
OWASP crAPI(Completely Ridiculous API)チャレンジの悪用。登録/認証、BOLA による車両位置情報、BOLA による整備士レポート、OTP ブルートフォース、データ露出のメカニズム、過剰なデータ露出、マスアサインメントによる注文、SSRF クーポン検証、NoSQL インジェクション、JWT 操作、IDOR ダッシュボード、2FA バイパス、内部 API アクセス、サーバーサイドパラメーター汚染、ユーザー削除、および動画アップロード IDOR を含みます。crAPI アプリケーションを対象とします。
F5 XC 機能: API セキュリティ
csd-demo-attacks
Section titled “csd-demo-attacks”スクリプト数: 5(JavaScript) | 推定所要時間: 3〜5分
クライアントサイド JavaScript インジェクション攻撃。カードスキマーインジェクション、フォームジャッカー、キーロガー、クリプトマイナー、および DOM ハイジャックスクリプトを含みます。F5 XC クライアントサイド防御が検出・ブロックする Magecart スタイルのクライアントサイドサプライチェーン攻撃をテストします。CSD デモアプリケーションを対象とします。
F5 XC 機能: クライアントサイド防御
demoapp-attacks
Section titled “demoapp-attacks”スクリプト数: 2 | 推定所要時間: 2〜3分
F5 DemoApp の組み込み WAF テストエンドポイント(/WAF/SQL、/WAF/XSS、/WAF/DIR)に対するターゲット指定の攻撃ペイロード。WAF のブロック動作を実証するために設計されたエンドポイントに対して、SQL インジェクション、XSS、およびパストラバーサルのペイロードを直接送信します。標準のオリジンサーバーアプリケーションではなく DemoApp コンテンツサーバーを対象とする場合はこのスイートを使用してください。
F5 XC 機能: Web アプリファイアウォール (WAF)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | /WAF/SQL?age= に対する 15 件の SQL インジェクションペイロード(UNION SELECT、DROP TABLE、WAITFOR DELAY、xp_cmdshell、コメントベースのバイパス、ブールロジックペイロードを含む)。 |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | /WAF/XSS?update= に対する 18 件の XSS ペイロード(スクリプトタグ、イベントハンドラー(onerror、onload、ontoggle、onfocus)、base64 eval、スタイル表現、ポリグロットペイロード、クッキー窃取を含む)。 |
F5 XC で期待される動作: Web アプリファイアウォール (WAF) は SQL インジェクションおよび XSS ペイロードを含むリクエストをブロックし、ブロックページを返します。セキュリティイベントダッシュボードには、ブロックされた各リクエストの違反カテゴリとシグネチャマッチが表示されます。
dvga-exploits
Section titled “dvga-exploits”スクリプト数: 9 | 推定所要時間: 8〜12分
Damn Vulnerable GraphQL Application に対する GraphQL 固有の脆弱性悪用。バッチクエリ DoS、深い再帰、フィールドの重複、フィルターを介した SQL インジェクション、createPaste を介した XSS、エイリアスベースの DoS、イントロスペクションの悪用、認可バイパス、および情報漏洩を含みます。DVGA アプリケーションを対象とします。
F5 XC 機能: API セキュリティ(GraphQL)
dvwa-exploits
Section titled “dvwa-exploits”スクリプト数: 14 | 推定所要時間: 15〜25分
Damn Vulnerable Web Application に対する OWASP Top 10 テスト。ブルートフォース、コマンドインジェクション、CSRF によるパスワード変更、ファイルインクルージョン、ファイルアップロード、SQL インジェクション(ブラインド)、SQL インジェクション(ユニオン)、XSS(DOM)、XSS(リフレクト)、XSS(ストアド)、CAPTCHA バイパス、脆弱なセッション ID、安全でない CORS、およびオープンリダイレクトを含みます。DVWA アプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)
javascript-exploits
Section titled “javascript-exploits”スクリプト数: 3 | 推定所要時間: 3〜5分
クライアントサイド防御(CSD)の検出をトリガーするクライアントサイドスクリプトインジェクションおよび DOM 操作パターン。Magecart スタイルのスキマーを模倣したインラインスクリプトインジェクション、ヘッドレス Chromium による DOM 操作、およびサードパーティスクリプトのシミュレーションを含みます。CSD デモアプリケーションを対象とします。
F5 XC 機能: クライアントサイド防御(CSD)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Magecart スタイルのクレジットカードスキマーおよびデータ窃取スクリプトを模倣するように設計されたインライン JavaScript ペイロードを含むリクエストを送信します。 |
| 02 | 02-dom-manipulation.sh | playwright | ヘッドレス Chromium を使用して CSD デモページを読み込み、DOM の変更を注入します:スクリプトタグの追加、フォームアクションの変更、フォームデータを窃取する不可視の iframe の挿入。 |
| 03 | 03-third-party-script-sim.sh | curl, playwright | 外部 JavaScript ソースを参照するリクエストを注入し、ページコンテキストへの不正なスクリプトの読み込みを試みることで、侵害されたサードパーティスクリプトをシミュレートします。 |
F5 XC で期待される動作: クライアントサイド防御は、保護されたページへの不正なスクリプト変更を検出します。CSD ダッシュボードには、新しいスクリプトソース、変更された DOM 要素、およびデータ窃取の試みに関するアラートが表示されます。これにより CSD フェーズ 2 の機能が検証されます。
juice-shop-exploits
Section titled “juice-shop-exploits”スクリプト数: 12 | 推定所要時間: 10〜18分
OWASP Juice Shop チャレンジの悪用。SQL インジェクションによるログインバイパス、SQL インジェクション検索ユニオン、XSS DOM リフレクト、XSS ストアド API、IDOR バスケットアクセス、管理者セクションアクセス、偽造フィードバック、ヌルバイトファイルアクセス、検索におけるリフレクト XSS、HTTP ヘッダーインジェクション、繰り返し登録、およびログインブルートフォースを含みます。Juice Shop アプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)、Bot 標準防御
mitre-attack
Section titled “mitre-attack”スクリプト数: 8 | 推定所要時間: 10〜15分
MITRE ATT&CK フレームワークの戦術シミュレーション。偵察(外部スキャン)、初期アクセス(クレデンシャルスタッフィング)、実行(コマンドインジェクション)、クレデンシャルアクセス(デフォルトパスワード)、発見(ディレクトリ列挙)、ラテラルムーブメントシミュレーション、収集(データスクレイピング)、および窃取シミュレーションを含みます。各スクリプトを特定の MITRE ATT&CK 戦術にマッピングし、体系的な脅威カバレッジレポートを実現します。すべてのアプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)、Bot 標準防御、API セキュリティ
owasp-scanning
Section titled “owasp-scanning”スクリプト数: 10 | 推定所要時間: 20〜35分
専用の脆弱性スキャナーを使用した包括的な OWASP スキャンスイート。ZAP ベースラインスキャン、ZAP アクティブスキャン、Nikto フルスキャン、Nuclei フルスキャン、Nmap 脆弱性スキャン、SSL/TLS 監査、ディレクトリファジング、サブドメイン列挙、技術フィンガープリンティング、および複合 OWASP レポート生成を含みます。すべてのアプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)、Web アプリスキャン
performance-testing
Section titled “performance-testing”スクリプト数: 12 | 推定所要時間: 15〜30分
さまざまな負荷パターンにおけるパフォーマンス特性テスト。並行性ランプ、アプリごとのスループット、持続負荷、接続チャーン、攻撃+負荷の混合、スパイクテスト、耐久テスト、ブレークポイントの探索、応答時間パーセンタイル、負荷下のエラー率、リソース枯渇、およびレイテンシー分布分析を含みます。すべてのアプリケーションを対象とします。
F5 XC 機能: DDoS 対策、レート制限
reconnaissance
Section titled “reconnaissance”スクリプト数: 6 | 推定所要時間: 8〜15分
ターゲットインフラストラクチャに対するネットワークスキャン、サービス列挙、およびディレクトリブルートフォース。nmap によるサービス検出、masscan によるポートスイープ、ディレクトリブルートフォース、サブドメイン列挙、Web 技術フィンガープリンティング、および DNS 偵察を含みます。すべてのアプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF) / Bot 標準防御
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | ターゲットの HTTP/HTTPS ポートに対するサービスバージョン検出とデフォルトスクリプトスキャン。 |
| 02 | 02-masscan-sweep.sh | masscan | レート制限を設けた一般的な Web ポート(80、443、8080、8443)の高速ポートスキャン。 |
| 03 | 03-gobuster-dirs.sh | gobuster | すべてのアプリケーションプレフィックスに対して SecLists の一般的なワードリストを使用したディレクトリブルートフォース。 |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | ターゲットドメインのパッシブサブドメイン列挙、次に発見されたホストへの HTTP プロービング。 |
| 05 | 05-whatweb-fingerprint.sh | whatweb | ターゲットおよびすべてのアプリケーションパスの Web 技術フィンガープリンティング。 |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | DNS レコード列挙、ゾーン転送の試み、およびターゲットドメインの逆引き参照。 |
F5 XC で期待される動作: Web アプリファイアウォール (WAF) はスキャンアクティビティを検出してログに記録します。Bot 標準防御は、高速な連続リクエストを自動化として分類する場合があります。セキュリティイベントダッシュボードには、偵察シグネチャとスキャンツールのユーザーエージェント文字列が表示されます。
restaurant-exploits
Section titled “restaurant-exploits”スクリプト数: 11 | 推定所要時間: 10〜18分
Restaurant API アプリケーションに対する OWASP API セキュリティ Top 10 2023 テスト。登録/認証、BOLA によるプロフィール、BOLA による注文、BOPLA マスアサインメント、BFLA 権限昇格、レート制限バイパス、メニューへの SQL インジェクション、ディスク統計へのコマンドインジェクション、画像 URL への SSRF、JWT 弱シークレット、および機密データ露出を含みます。Restaurant API アプリケーションを対象とします。
F5 XC 機能: API セキュリティ
ssl-scanning
Section titled “ssl-scanning”スクリプト数: 3 | 推定所要時間: 3〜5分
F5 XC ロードバランサーの HTTPS エンドポイントの TLS/SSL 設定分析。暗号スイート、プロトコルバージョン、証明書の詳細を列挙し、既知の TLS 脆弱性を確認します。F5 XC ロードバランサーエンドポイントを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)(情報提供)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | サポートされている暗号スイート、プロトコルバージョン、および証明書の詳細を列挙します。 |
| 02 | 02-sslyze.sh | sslyze | 証明書の検証、暗号スイートの順序、および脆弱性チェック(Heartbleed、ROBOT など)を含む包括的な TLS 分析。 |
| 03 | 03-testssl.sh | testssl.sh | testssl.sh フレームワークを使用した完全な TLS 評価。プロトコルサポート、暗号優先順位、ヘッダー分析、および既知の脆弱性をテストします。 |
F5 XC で期待される動作: SSL スキャンは、異常な暗号スイートの提案を伴う多数の TLS ハンドシェイクを生成します。F5 XC は通常これらをブロックしませんが、トラフィックパターンはアクセスログに表示されます。主な価値は、F5 XC の TLS 設定がセキュリティのベストプラクティスを満たしていることを確認することです。
traffic-generation
Section titled “traffic-generation”スクリプト数: 4 | 推定所要時間: 5〜10分(設定可能)
ベースライン測定と負荷テストのための大量の正規 HTTP トラフィック。攻撃スイートのトラフィックとの比較のために、F5 XC アナリティクスに正常なトラフィックパターンを確立します。すべてのアプリケーションを対象とします。
F5 XC 機能: すべて(ベースライン比較)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | 標準ブラウザーのユーザーエージェントを使用した全アプリケーションパスへの逐次 HTTP GET リクエスト。F5 XC アナリティクスに正常トラフィックのベースラインを確立します。 |
| 02 | 02-concurrent-load.sh | curl | 複数の同時接続を使用した curl による並列 HTTP リクエスト。負荷処理のテストとスループットベースラインの確立を行います。 |
| 03 | 03-mixed-methods.sh | curl | 有効なペイロードを持つ API エンドポイントへの混合 HTTP メソッド(GET、POST、PUT、DELETE)。攻撃トラフィックとの比較のために正常な API トラフィックパターンを生成します。 |
| 04 | 04-user-journey.sh | playwright | Playwright の標準ブラウザー設定を使用して、ページの閲覧、商品の検索、フォームの入力、アプリケーション間のナビゲーションなど、現実的なユーザージャーニーをシミュレートします。 |
F5 XC で期待される動作: このスイートのすべてのリクエストは、Web アプリファイアウォール (WAF) または Bot 標準防御の介入なしに通過します。このスイートを使用してアナリティクスダッシュボードに「クリーン」なトラフィックを生成し、攻撃スイートのトラフィックと比較して正規リクエストと悪意あるリクエストパターンの違いを示してください。
waf-encoding-evasion
Section titled “waf-encoding-evasion”スクリプト数: 7 | 推定所要時間: 5〜10分
WAF がペイロードを検査前に適切に正規化およびデコードするかどうかをテストするように設計された多層エンコードの回避攻撃。単一・二重・三重 URL エンコード、HTML エンティティエンコード(十進数、十六進数、名前付き、ゼロパディング)、Unicode/UTF-8 の挿入(ゼロ幅スペース、BOM、全角文字、ソフトハイフン、過長シーケンス)、混合/ネストされた多層エンコード(URL エンコードされた HTML エンティティ、エンティティ内のダブル URL、3 層スタック)、ヌルバイトインジェクション、IIS %uXXXX エンコード、大文字小文字の操作、チャンク転送エンコードによるボディ分割、Base64 パラメーターの回避、ヘッダー/クッキーのエンコードされたペイロードをカバーします。任意のアプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)(エンコード正規化の深さ)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | 複数のエンドポイントパスにわたる SQLi、XSS、およびパストラバーサルペイロードの単一・二重・三重 URL エンコード。WAF が URL パラメーターを再帰的にデコードするかどうかをテストします。 |
| 02 | 02-html-entity-encoding.sh | curl, python3 | GET パラメーターと POST ボディの両方での攻撃ペイロードの十進数、十六進数、名前付き、ゼロパディング HTML エンティティエンコード。{{7*7}} によるテンプレートインジェクションを含みます。 |
| 03 | 03-unicode-utf8-evasion.sh | curl | SQL キーワードと XSS タグへのゼロ幅スペース(U+200B)、BOM(U+FEFF)、全角文字、ソフトハイフン、および ZWNJ の挿入。過長 UTF-8 シーケンス(2 バイトおよび 3 バイト)をテストします。 |
| 04 | 04-mixed-nested-encoding.sh | curl | 多層ペイロード:URL エンコードされた HTML エンティティ、エンティティ内のダブル URL、三重層スタック、Unicode エスケープ付き JSON ボディ(<)、およびユーザー固有の {{7*7}} テンプレートインジェクションパターン。 |
| 05 | 05-null-byte-iis-base64.sh | curl | 拡張子バイパスのためのヌルバイトインジェクション(%00)、IIS %uXXXX Unicode エンコード、およびデコードフラグ付きの URL パラメーターにおける Base64 エンコードペイロード。 |
| 06 | 06-case-chunked-evasion.sh | curl | エンコードと組み合わせた大文字小文字のランダム化(%3CsCrIpT%3E)、HTTP チャンク全体に SQL/XSS キーワードを分割するチャンク転送エンコード、Content-Length/Transfer-Encoding の競合プローブ、および代替パス区切り文字(%5c、%c0%af)。 |
| 07 | 07-header-cookie-evasion.sh | curl | Cookie、Referer、User-Agent、X-Forwarded-For、および X-Original-URL ヘッダーを介して注入されたエンコードされた攻撃ペイロード。WAF がクエリパラメーターと POST ボディだけでなく、すべての HTTP ヘッダーフィールドを検査・デコードするかどうかをテストします。 |
F5 XC で期待される動作: 適切に設定された Web アプリファイアウォール (WAF) は、パターンマッチングの前にすべてのエンコード層を正規化します。単一エンコードされたペイロードは即座にブロックされます。二重・三重エンコードのテストは、WAF のデコードパイプラインの深さを明らかにします。Unicode の挿入テストは、キーワードマッチングの前に不可視文字が除去されるかどうかを明らかにします。エンコードされた変形が通過し、プレーンテキストの同等物がブロックされる結果は、WAF ポリシーにおける正規化のギャップを示します。
web-app-attacks
Section titled “web-app-attacks”スクリプト数: 6 | 推定所要時間: 12〜20分
F5 XC を経由した Juice Shop および DVWA に対する OWASP Top 10 Web アプリケーション脆弱性テスト。SQL インジェクション、XSS、コマンドインジェクション、パストラバーサル、Nikto スキャン、および Nuclei テンプレートベースのスキャンを含みます。Juice Shop および DVWA アプリケーションを対象とします。
F5 XC 機能: Web アプリファイアウォール (WAF)
| 順序 | スクリプト | ツール | 説明 |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | Juice Shop 検索 API および DVWA SQLi エンドポイントに対する SQL インジェクションペイロード。sqlmap による自動スキャンを実行後、curl ベースのインジェクションペイロードを 10 件直接送信します。 |
| 02 | 02-xss.sh | dalfox, curl | Juice Shop および DVWA XSS リフレクト/ストアドエンドポイントに対するクロスサイトスクリプティング。dalfox による自動スキャンを実行後、スクリプトタグ、イベントハンドラー、クッキー窃取を含む 12 件の XSS ペイロードを直接送信します。 |
| 03 | 03-command-injection.sh | curl | DVWA exec エンドポイントへの OS コマンドインジェクションペイロード。パイプチェーン、セミコロン、URL エンコードされた改行、リバースシェルパターンを含む 12 件のペイロードを送信します。 |
| 04 | 04-path-traversal.sh | curl | 複数のアプリケーションエンドポイントへのディレクトリトラバーサル。6 つのエンドポイントパスにわたって標準的な ../ トラバーサル、URL エンコードされた変形、二重エンコードされた変形、ヌルバイト変形、および Unicode 変形をテストします。 |
| 05 | 05-nikto-scan.sh | nikto | 120 秒の制限時間付きのフル Web サーバー脆弱性スキャン。WAF シグネチャマッチングをトリガーする多様な HTTP リクエストを生成します。 |
| 06 | 06-nuclei-scan.sh | nuclei | 中・高・重大の深刻度レベルでのテンプレートベースの脆弱性スキャン。1 秒あたり 50 リクエストにレート制限されています。 |
F5 XC で期待される動作: Web アプリファイアウォール (WAF) は SQL インジェクション、XSS、コマンドインジェクション、およびパストラバーサルペイロードを含むリクエストをブロックまたはフラグを立てます。セキュリティイベントダッシュボードには、ブロックされた各リクエストの違反カテゴリ、シグネチャ ID、およびリクエストの詳細が表示されます。