트래픽 스위트
각 트래픽 스위트는 /opt/traffic-generator/suites/ 하위의 디렉터리로, runner.sh가 순서대로 실행하는 번호가 매겨진 셸 스크립트를 포함합니다. 모든 스크립트는 첫 번째 인수로 대상 FQDN을 받으며, 출력을 stdout과 결과 디렉터리 모두에 기록합니다.
api-attacks
섹션 제목: “api-attacks”스크립트: 4개 | 예상 소요 시간: 10~17분
F5 XC를 통해 VAmPI에 대한 OWASP API 보안 Top 10 테스트를 수행합니다. 테스트 사용자를 등록하고 인증 토큰을 획득한 후, BOLA, 무차별 대입 인증, 과도한 데이터 노출, 기능 수준 권한 부여 오류, SSRF 패턴, REST API 엔드포인트에 대한 SQL 인젝션, 숨겨진 파라미터 탐색, 엔드포인트 퍼징을 테스트합니다. VAmPI 애플리케이션을 대상으로 합니다.
F5 XC 기능: API 보안 / API 디스커버리
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | 포괄적인 OWASP API Top 10 테스트 스위트. 테스트 사용자를 등록하고 인증 토큰을 획득한 후, BOLA(다른 사용자 데이터 접근), 무차별 대입 인증, 과도한 데이터 노출, 기능 수준 권한 부여 오류, SSRF 패턴, 보안 구성 오류 프로빙을 테스트합니다. |
| 02 | 02-sqlmap-api.sh | sqlmap | VAmPI REST API 엔드포인트에 대한 SQL 인젝션: 사용자 조회, 로그인(POST), JSON 페이로드를 사용한 등록(POST). |
| 03 | 03-arjun-param-discovery.sh | arjun | Juice Shop, DVWA, VAmPI 엔드포인트에 걸친 숨겨진 파라미터 탐색. 인젝션 페이로드를 받을 수 있는 문서화되지 않은 쿼리 파라미터를 탐색합니다. |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | 2단계 퍼징: 모든 애플리케이션 접두사에 걸쳐 일반적인 API 경로(api, swagger, graphql, admin, .env, .git) 단어 목록을 사용한 엔드포인트 탐색, 이후 주요 엔드포인트에 대한 HTTP 메서드 퍼징(GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND). |
예상 F5 XC 동작: API 디스커버리는 VAmPI API 엔드포인트를 매핑하고 비정상적인 요청 패턴을 식별해야 합니다. API 보안 정책은 무단 접근 시도, JSON 본문의 인젝션 페이로드, 열거 패턴을 플래그로 표시해야 합니다. F5 XC의 API 인벤토리에는 요청 수와 함께 발견된 엔드포인트가 표시됩니다.
bot-simulation
섹션 제목: “bot-simulation”스크립트: 4개 | 예상 소요 시간: 5~10분
F5 XC를 통한 자동화된 브라우저 활동 및 봇 유사 크롤링 패턴. 헤드리스 Chrome, 스텔스 플러그인을 사용한 Puppeteer, 빠른 크롤링, 자동화된 폼 상호작용을 포함합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: Bot 표준 방어
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | 헤드리스 Chromium 브라우징: 대상을 로드하고, 애플리케이션 경로 사이를 탐색하며, 페이지 제목과 콘텐츠를 추출하고, 스크린샷을 찍습니다. 스텔스 플러그인 없이 브라우저 기반 트래픽을 생성합니다(자동화로 감지 가능). |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | puppeteer-extra와 스텔스 플러그인을 사용하는 스텔스 브라우징. navigator 속성, WebGL 및 기타 브라우저 핑거프린트를 패치하여 봇 탐지를 회피하려 시도합니다. |
| 03 | 03-rapid-crawl.sh | curl, wget | curl과 wget을 빠른 연속으로 사용하는 고빈도 HTTP 요청. 요청 간 지연 없이 공격적인 User-Agent 로테이션으로 스크레이퍼 동작을 시뮬레이션합니다. |
| 04 | 04-form-interaction.sh | playwright | Playwright의 폼 상호작용 API를 사용하여 DVWA 로그인, Juice Shop 등록, VAmPI API 엔드포인트에 대한 자동화된 폼 작성 및 제출. |
예상 F5 XC 동작: Bot 표준 방어는 브라우저 핑거프린트 분석, 요청 타이밍, JavaScript 챌린지 결과를 기반으로 트래픽을 자동화된 것으로 분류해야 합니다. 스텔스 없는 헤드리스 Chrome은 즉시 감지되어야 합니다. 스텔스 Puppeteer는 고급 회피 기술이 탐지를 우회하는지 여부를 테스트합니다. Bot 표준 방어 대시보드에는 봇 분류 카테고리 및 완화 조치가 표시됩니다.
cdn-load-testing
섹션 제목: “cdn-load-testing”스크립트: 18개 | 예상 소요 시간: 20~30분
CDN 캐시 동작 및 오리진 서버 보호 테스트. 기본 처리량, 쿼리 문자열 격리, accept-encoding 변형, 썬더링 허드 시뮬레이션, POST/PUT 우회, 캐시 키 충돌, 조건부 GET, 범위 요청, 퍼지 시뮬레이션, 연결 풀 고갈, keepalive 최적화, TLS 핸드셰이크 오버헤드, 대용량 객체 캐싱, 멀티 오리진 장애 조치, 속도 제한, gzip 비율 테스트, HTTP/2 멀티플렉싱, 결합 kraken 벤치마크를 포함합니다. CDN 시뮬레이터 애플리케이션을 대상으로 합니다.
F5 XC 기능: CDN 통합
crapi-exploits
섹션 제목: “crapi-exploits”스크립트: 16개 | 예상 소요 시간: 15~25분
OWASP crAPI(완전히 황당한 API) 챌린지 익스플로잇. 등록/인증, BOLA 차량 위치, BOLA 정비사 보고서, OTP 무차별 대입, 데이터 노출 메커니즘, 과도한 데이터 노출, 대량 할당 주문, SSRF 쿠폰 유효성 검사, NoSQL 인젝션, JWT 조작, IDOR 대시보드, 2FA 우회, 내부 API 접근, 서버 측 파라미터 오염, 사용자 삭제, 동영상 업로드 IDOR을 포함합니다. crAPI 애플리케이션을 대상으로 합니다.
F5 XC 기능: API 보안
csd-demo-attacks
섹션 제목: “csd-demo-attacks”스크립트: 5개(JavaScript) | 예상 소요 시간: 3~5분
클라이언트 측 JavaScript 인젝션 공격. 카드 스키머 인젝션, 폼재킹, 키로거, 크립토마이너, DOM 하이재크 스크립트를 포함합니다. F5 XC 클라이언트 측 방어가 탐지 및 차단하는 Magecart 스타일의 클라이언트 측 공급망 공격을 테스트합니다. CSD 데모 애플리케이션을 대상으로 합니다.
F5 XC 기능: 클라이언트 측 방어
demoapp-attacks
섹션 제목: “demoapp-attacks”스크립트: 2개 | 예상 소요 시간: 2~3분
F5 DemoApp의 내장 WAF 테스트 엔드포인트(/WAF/SQL, /WAF/XSS, /WAF/DIR)에 대한 표적 공격 페이로드. WAF 차단 동작을 시연하도록 설계된 엔드포인트에 SQL 인젝션, XSS, 경로 순회 페이로드를 직접 전송합니다. 표준 오리진 서버 애플리케이션 대신 DemoApp 콘텐츠 서버를 대상으로 할 때 이 스위트를 사용하십시오.
F5 XC 기능: 웹 앱 방화벽 (WAF)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | /WAF/SQL?age=에 대한 15개 SQL 인젝션 페이로드: UNION SELECT, DROP TABLE, WAITFOR DELAY, xp_cmdshell, 주석 기반 우회, 불리언 논리 페이로드 포함. |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | /WAF/XSS?update=에 대한 18개 XSS 페이로드: script 태그, 이벤트 핸들러(onerror, onload, ontoggle, onfocus), base64 eval, 스타일 표현식, 폴리글롯 페이로드, 쿠키 탈취 포함. |
예상 F5 XC 동작: 웹 앱 방화벽 (WAF)은 SQL 인젝션 및 XSS 페이로드를 포함한 요청을 차단하고 차단 페이지를 반환해야 합니다. 보안 이벤트 대시보드에는 차단된 각 요청에 대한 위반 카테고리 및 서명 일치 항목이 표시됩니다.
dvga-exploits
섹션 제목: “dvga-exploits”스크립트: 9개 | 예상 소요 시간: 8~12분
Damn Vulnerable GraphQL Application에 대한 GraphQL 특화 취약점 익스플로잇. 배치 쿼리 DoS, 깊은 재귀, 필드 중복, 필터를 통한 SQL 인젝션, createPaste를 통한 XSS, 별칭 기반 DoS, 인트로스펙션 남용, 권한 부여 우회, 정보 노출을 포함합니다. DVGA 애플리케이션을 대상으로 합니다.
F5 XC 기능: API 보안(GraphQL)
dvwa-exploits
섹션 제목: “dvwa-exploits”스크립트: 14개 | 예상 소요 시간: 15~25분
Damn Vulnerable Web Application에 대한 OWASP Top 10 테스트. 무차별 대입, 명령 인젝션, CSRF 비밀번호 변경, 파일 포함, 파일 업로드, SQL 인젝션(블라인드), SQL 인젝션(유니온), XSS(DOM), XSS(반사), XSS(저장), CAPTCHA 우회, 취약한 세션 ID, 안전하지 않은 CORS, 오픈 리다이렉트를 포함합니다. DVWA 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF)
javascript-exploits
섹션 제목: “javascript-exploits”스크립트: 3개 | 예상 소요 시간: 3~5분
클라이언트 측 방어(CSD) 탐지를 트리거하는 클라이언트 측 스크립트 인젝션 및 DOM 조작 패턴. Magecart 스타일 스키머를 모방하는 인라인 스크립트 인젝션, 헤드리스 Chromium을 통한 DOM 조작, 서드파티 스크립트 시뮬레이션을 포함합니다. CSD 데모 애플리케이션을 대상으로 합니다.
F5 XC 기능: 클라이언트 측 방어(CSD)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Magecart 스타일의 신용카드 스키머 및 데이터 탈취 스크립트를 모방하도록 설계된 인라인 JavaScript 페이로드가 포함된 요청을 전송합니다. |
| 02 | 02-dom-manipulation.sh | playwright | 헤드리스 Chromium을 사용하여 CSD 데모 페이지를 로드하고 DOM 수정을 인젝션합니다: script 태그 추가, 폼 액션 수정, 폼 데이터를 탈취하는 보이지 않는 iframe 삽입. |
| 03 | 03-third-party-script-sim.sh | curl, playwright | 외부 JavaScript 소스를 참조하는 요청을 인젝션하고 무단 스크립트를 페이지 컨텍스트에 로드하려 시도함으로써 손상된 서드파티 스크립트를 시뮬레이션합니다. |
예상 F5 XC 동작: 클라이언트 측 방어는 보호된 페이지에 대한 무단 스크립트 수정을 탐지해야 합니다. CSD 대시보드에는 새로운 스크립트 소스, 수정된 DOM 요소, 데이터 탈취 시도에 대한 알림이 표시됩니다. 이는 CSD Phase 2 기능을 검증합니다.
juice-shop-exploits
섹션 제목: “juice-shop-exploits”스크립트: 12개 | 예상 소요 시간: 10~18분
OWASP Juice Shop 챌린지 익스플로잇. SQL 인젝션 로그인 우회, SQL 인젝션 검색 유니온, XSS DOM 반사, XSS 저장 API, IDOR 장바구니 접근, 관리자 섹션 접근, 위조된 피드백, 널 바이트 파일 접근, 검색의 반사 XSS, HTTP 헤더 인젝션, 반복 등록, 로그인 무차별 대입을 포함합니다. Juice Shop 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF), Bot 표준 방어
mitre-attack
섹션 제목: “mitre-attack”스크립트: 8개 | 예상 소요 시간: 10~15분
MITRE ATT&CK 프레임워크 전술 시뮬레이션. 정찰(외부 스캐닝), 초기 접근(자격증명 스터핑), 실행(명령 인젝션), 자격증명 접근(기본 비밀번호), 탐색(디렉터리 열거), 횡적 이동 시뮬레이션, 수집(데이터 스크래핑), 유출 시뮬레이션을 포함합니다. 각 스크립트를 구조화된 위협 커버리지 보고를 위해 특정 MITRE ATT&CK 전술에 매핑합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF), Bot 표준 방어, API 보안
owasp-scanning
섹션 제목: “owasp-scanning”스크립트: 10개 | 예상 소요 시간: 20~35분
전용 취약점 스캐너를 사용하는 포괄적인 OWASP 스캐닝 스위트. ZAP 기본 스캔, ZAP 활성 스캔, Nikto 전체 스캔, Nuclei 전체 스캔, Nmap 취약점 스캔, SSL/TLS 감사, 디렉터리 퍼징, 서브도메인 열거, 기술 핑거프린팅, 결합 OWASP 보고서 생성을 포함합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF), 웹 앱 스캐닝
performance-testing
섹션 제목: “performance-testing”스크립트: 12개 | 예상 소요 시간: 15~30분
다양한 부하 패턴 하에서의 성능 특성 테스트. 동시성 램프, 앱별 처리량, 지속 부하, 연결 처른, 혼합 공격+부하, 스파이크 테스트, 내구성 테스트, 중단점 탐색, 응답 시간 백분위수, 부하 하에서의 오류율, 리소스 고갈, 지연 분포 분석을 포함합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: DDoS 보호, 속도 제한
reconnaissance
섹션 제목: “reconnaissance”스크립트: 6개 | 예상 소요 시간: 8~15분
대상 인프라에 대한 네트워크 스캐닝, 서비스 열거, 디렉터리 무차별 대입. nmap 서비스 탐지, masscan 포트 스위프, 디렉터리 무차별 대입, 서브도메인 열거, 웹 기술 핑거프린팅, DNS 정찰을 포함합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF) / Bot 표준 방어
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | 대상의 HTTP/HTTPS 포트에 대한 서비스 버전 탐지 및 기본 스크립트 스캔. |
| 02 | 02-masscan-sweep.sh | masscan | 속도 제한을 적용한 일반 웹 포트(80, 443, 8080, 8443)의 고속 포트 스캔. |
| 03 | 03-gobuster-dirs.sh | gobuster | 모든 애플리케이션 접두사에 대해 SecLists 공통 단어 목록을 사용한 디렉터리 무차별 대입. |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | 대상 도메인에 대한 수동 서브도메인 열거, 이후 발견된 호스트의 HTTP 프로빙. |
| 05 | 05-whatweb-fingerprint.sh | whatweb | 대상 및 모든 애플리케이션 경로의 웹 기술 핑거프린팅. |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | 대상 도메인에 대한 DNS 레코드 열거, 존 전송 시도, 역방향 조회. |
예상 F5 XC 동작: 웹 앱 방화벽 (WAF)은 스캐닝 활동을 탐지하고 기록해야 합니다. Bot 표준 방어는 빠른 연속 요청을 자동화된 것으로 분류할 수 있습니다. 보안 이벤트 대시보드에는 정찰 서명 및 스캐닝 도구 User-Agent 문자열이 표시됩니다.
restaurant-exploits
섹션 제목: “restaurant-exploits”스크립트: 11개 | 예상 소요 시간: 10~18분
Restaurant API 애플리케이션에 대한 OWASP API 보안 Top 10 2023 테스트. 등록/인증, BOLA 프로필, BOLA 주문, BOPLA 대량 할당, BFLA 권한 상승, 속도 제한 우회, SQL 인젝션 메뉴, 명령 인젝션 디스크 통계, SSRF 이미지 URL, JWT 취약한 시크릿, 민감한 데이터 노출을 포함합니다. Restaurant API 애플리케이션을 대상으로 합니다.
F5 XC 기능: API 보안
ssl-scanning
섹션 제목: “ssl-scanning”스크립트: 3개 | 예상 소요 시간: 3~5분
F5 XC 로드 밸런서의 HTTPS 엔드포인트에 대한 TLS/SSL 구성 분석. 암호 스위트, 프로토콜 버전, 인증서 세부 정보를 열거하고 알려진 TLS 취약점을 확인합니다. F5 XC 로드 밸런서 엔드포인트를 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF)(정보 제공 목적)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | 지원되는 암호 스위트, 프로토콜 버전, 인증서 세부 정보를 열거합니다. |
| 02 | 02-sslyze.sh | sslyze | 인증서 유효성 검사, 암호 스위트 순서, 취약점 검사(Heartbleed, ROBOT 등)를 포함한 포괄적인 TLS 분석. |
| 03 | 03-testssl.sh | testssl.sh | testssl.sh 프레임워크를 사용한 전체 TLS 평가. 프로토콜 지원, 암호 기본 설정, 헤더 분석, 알려진 취약점을 테스트합니다. |
예상 F5 XC 동작: SSL 스캐닝은 비정상적인 암호 스위트 제안과 함께 많은 TLS 핸드셰이크를 생성합니다. F5 XC는 일반적으로 이를 차단하지 않지만, 트래픽 패턴은 액세스 로그에서 확인할 수 있습니다. 주요 가치는 F5 XC TLS 구성이 보안 모범 사례를 충족하는지 확인하는 것입니다.
traffic-generation
섹션 제목: “traffic-generation”스크립트: 4개 | 예상 소요 시간: 5~10분(구성 가능)
기준 측정 및 부하 테스트를 위한 대용량 정상 HTTP 트래픽. 공격 스위트 트래픽과의 비교를 위해 F5 XC 분석에서 정상 트래픽 패턴을 구축합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: 전체(기준 비교)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | 표준 브라우저 User-Agent를 사용하여 모든 애플리케이션 경로에 순차적인 HTTP GET 요청. F5 XC 분석에서 정상 트래픽의 기준을 구축합니다. |
| 02 | 02-concurrent-load.sh | curl | 여러 동시 연결을 사용하여 curl로 병렬 HTTP 요청. 부하 처리를 테스트하고 처리량 기준을 구축합니다. |
| 03 | 03-mixed-methods.sh | curl | 유효한 페이로드와 함께 API 엔드포인트에 대한 혼합 HTTP 메서드(GET, POST, PUT, DELETE). 공격 트래픽과의 비교를 위한 정상 API 트래픽 패턴을 생성합니다. |
| 04 | 04-user-journey.sh | playwright | 현실적인 사용자 여정 시뮬레이션: 표준 브라우저 설정의 Playwright를 사용하여 페이지 탐색, 제품 검색, 폼 작성, 애플리케이션 간 이동. |
예상 F5 XC 동작: 이 스위트의 모든 요청은 웹 앱 방화벽 (WAF) 또는 Bot 표준 방어의 개입 없이 통과해야 합니다. 이 스위트를 사용하여 분석 대시보드에서 “깨끗한” 트래픽을 생성한 후, 공격 스위트 트래픽과 비교하여 정상 요청 패턴과 악성 요청 패턴 간의 차이를 시연하십시오.
waf-encoding-evasion
섹션 제목: “waf-encoding-evasion”스크립트: 7개 | 예상 소요 시간: 5~10분
WAF가 검사 전에 페이로드를 올바르게 정규화하고 디코딩하는지 테스트하도록 설계된 다중 레이어 인코딩 회피 공격. 단일, 이중, 삼중 URL 인코딩; HTML 엔티티 인코딩(십진수, 16진수, 명명된, 제로 패딩); 유니코드/UTF-8 삽입(제로 너비 공백, BOM, 전각 문자, 소프트 하이픈, 오버롱 시퀀스); 혼합/중첩 다중 레이어 인코딩(URL 인코딩된 HTML 엔티티, 엔티티 내부 이중 URL, 3레이어 스택); 널 바이트 인젝션; IIS %uXXXX 인코딩; 대소문자 조작; 청크 전송 인코딩 본문 분할; Base64 파라미터 회피; 헤더/쿠키 인코딩 페이로드를 포함합니다. 모든 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF)(인코딩 정규화 깊이)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | 여러 엔드포인트 경로에 걸쳐 SQLi, XSS, 경로 순회 페이로드의 단일, 이중, 삼중 URL 인코딩. WAF가 URL 파라미터를 재귀적으로 디코딩하는지 테스트합니다. |
| 02 | 02-html-entity-encoding.sh | curl, python3 | GET 파라미터와 POST 본문 모두에서 공격 페이로드의 십진수, 16진수, 명명된, 제로 패딩 HTML 엔티티 인코딩. {{7*7}}를 통한 템플릿 인젝션 포함. |
| 03 | 03-unicode-utf8-evasion.sh | curl | SQL 키워드 및 XSS 태그에 제로 너비 공백(U+200B), BOM(U+FEFF), 전각 문자, 소프트 하이픈, ZWNJ 삽입. 오버롱 UTF-8 시퀀스(2바이트 및 3바이트) 테스트. |
| 04 | 04-mixed-nested-encoding.sh | curl | 다중 레이어 페이로드: URL 인코딩된 HTML 엔티티, 엔티티 내부 이중 URL, 삼중 레이어 스택, 유니코드 이스케이프(<)가 있는 JSON 본문, 사용자별 {{7*7}} 템플릿 인젝션 패턴. |
| 05 | 05-null-byte-iis-base64.sh | curl | 확장자 우회를 위한 널 바이트 인젝션(%00), IIS %uXXXX 유니코드 인코딩, 디코딩 플래그와 함께 URL 파라미터의 Base64 인코딩 페이로드. |
| 06 | 06-case-chunked-evasion.sh | curl | 인코딩과 결합된 대소문자 무작위화(%3CsCrIpT%3E), HTTP 청크에 걸쳐 SQL/XSS 키워드를 분할하는 청크 전송 인코딩, Content-Length/Transfer-Encoding 충돌 프로브, 대체 경로 구분자(%5c, %c0%af). |
| 07 | 07-header-cookie-evasion.sh | curl | Cookie, Referer, User-Agent, X-Forwarded-For, X-Original-URL 헤더를 통해 인젝션된 인코딩된 공격 페이로드. WAF가 쿼리 파라미터와 POST 본문만이 아닌 모든 HTTP 헤더 필드를 검사하고 디코딩하는지 테스트합니다. |
예상 F5 XC 동작: 올바르게 구성된 웹 앱 방화벽 (WAF)은 패턴 매칭 전에 모든 인코딩 레이어를 정규화해야 합니다. 단일 인코딩 페이로드는 즉시 차단되어야 합니다. 이중 및 삼중 인코딩 테스트는 WAF 디코딩 파이프라인의 깊이를 드러냅니다. 유니코드 삽입 테스트는 키워드 매칭 전에 보이지 않는 문자가 제거되는지 여부를 드러냅니다. 인코딩된 변형은 통과하지만 일반 텍스트 등가물은 차단되는 결과는 WAF 정책의 정규화 격차를 나타냅니다.
web-app-attacks
섹션 제목: “web-app-attacks”스크립트: 6개 | 예상 소요 시간: 12~20분
F5 XC를 통해 Juice Shop 및 DVWA에 대한 OWASP Top 10 웹 애플리케이션 취약점 테스트. SQL 인젝션, XSS, 명령 인젝션, 경로 순회, Nikto 스캐닝, Nuclei 템플릿 기반 스캐닝을 포함합니다. Juice Shop 및 DVWA 애플리케이션을 대상으로 합니다.
F5 XC 기능: 웹 앱 방화벽 (WAF)
| 순서 | 스크립트 | 도구 | 설명 |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | Juice Shop 검색 API 및 DVWA SQLi 엔드포인트에 대한 SQL 인젝션 페이로드. sqlmap 자동화 스캔을 실행한 후 10개의 직접 curl 기반 인젝션 페이로드를 전송합니다. |
| 02 | 02-xss.sh | dalfox, curl | Juice Shop 및 DVWA XSS 반사/저장 엔드포인트에 대한 크로스사이트 스크립팅. dalfox 자동화 스캔을 실행한 후 script 태그, 이벤트 핸들러, 쿠키 탈취를 포함한 12개의 직접 XSS 페이로드를 전송합니다. |
| 03 | 03-command-injection.sh | curl | DVWA exec 엔드포인트에 대한 OS 명령 인젝션 페이로드. 파이프 체인, 세미콜론, URL 인코딩된 개행, 리버스 셸 패턴을 포함한 12개의 페이로드를 전송합니다. |
| 04 | 04-path-traversal.sh | curl | 여러 애플리케이션 엔드포인트에 대한 디렉터리 순회. 6개의 엔드포인트 경로에 걸쳐 표준 ../ 순회, URL 인코딩 변형, 이중 인코딩 변형, 널 바이트 변형, 유니코드 변형을 테스트합니다. |
| 05 | 05-nikto-scan.sh | nikto | 120초 시간 제한의 전체 웹 서버 취약점 스캔. WAF 서명 매칭을 트리거하는 다양한 HTTP 요청을 생성합니다. |
| 06 | 06-nuclei-scan.sh | nuclei | 중간, 높음, 심각 심각도 수준에서 템플릿 기반 취약점 스캐닝. 초당 50개 요청으로 속도 제한. |
예상 F5 XC 동작: 웹 앱 방화벽 (WAF)은 SQL 인젝션, XSS, 명령 인젝션, 경로 순회 페이로드를 포함한 요청을 차단하거나 플래그로 표시해야 합니다. 보안 이벤트 대시보드에는 차단된 각 요청에 대한 위반 카테고리, 서명 ID, 요청 세부 정보가 표시됩니다.