Suítes de Tráfego
Cada suíte de tráfego é um diretório em /opt/traffic-generator/suites/ contendo scripts shell numerados executados em ordem pelo runner.sh. Cada script aceita o FQDN alvo como primeiro argumento e grava a saída tanto no stdout quanto no diretório de resultados.
api-attacks
Seção intitulada “api-attacks”Scripts: 4 | Duração Estimada: 10-17 minutos
Testes do OWASP API Security Top 10 contra a VAmPI através do F5 XC. Registra um usuário de teste, obtém um token de autenticação e, em seguida, testa BOLA, autenticação por força bruta, exposição excessiva de dados, autorização de nível de função quebrada, padrões de SSRF, injeção SQL contra endpoints de API REST, descoberta de parâmetros ocultos e fuzzing de endpoints. Tem como alvo a aplicação VAmPI.
Funcionalidade F5 XC: Segurança de API / Descoberta de API
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-vampi-owasp-top10.sh | curl, jq | Suite abrangente de testes OWASP API Top 10. Registra um usuário de teste, obtém um token de autenticação e, em seguida, testa BOLA (acesso a dados de outros usuários), autenticação por força bruta, exposição excessiva de dados, autorização de nível de função quebrada, padrões de SSRF e verificação de configuração incorreta de segurança. |
| 02 | 02-sqlmap-api.sh | sqlmap | Injeção SQL contra endpoints de API REST da VAmPI: consulta de usuário, login (POST) e registro (POST) com payloads JSON. |
| 03 | 03-arjun-param-discovery.sh | arjun | Descoberta de parâmetros ocultos nos endpoints do Juice Shop, DVWA e VAmPI. Descobre parâmetros de consulta não documentados que podem aceitar payloads de injeção. |
| 04 | 04-ffuf-api-fuzz.sh | ffuf | Fuzzing em duas fases: descoberta de endpoints usando uma wordlist de caminhos de API comuns (api, swagger, graphql, admin, .env, .git) em todos os prefixos de aplicação, seguida de fuzzing de métodos HTTP (GET, POST, PUT, DELETE, PATCH, OPTIONS, TRACE, PROPFIND) contra endpoints principais. |
Comportamento Esperado do F5 XC: A Descoberta de API deve mapear os endpoints da API VAmPI e identificar padrões de requisição incomuns. As políticas de Segurança de API devem sinalizar tentativas de acesso não autorizado, payloads de injeção em corpos JSON e padrões de enumeração. O Inventário de API no F5 XC exibirá os endpoints descobertos com contagens de requisições.
bot-simulation
Seção intitulada “bot-simulation”Scripts: 4 | Duração Estimada: 5-10 minutos
Atividade automatizada de navegador e padrões de rastreamento semelhantes a bots através do F5 XC. Inclui Chrome headless, Puppeteer com plugin stealth, rastreamento rápido e interação automatizada com formulários. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: Defesa contra Bots
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-headless-chrome.sh | playwright | Navegação com Chromium headless: carrega o alvo, navega entre caminhos de aplicação, extrai títulos de páginas e conteúdo, tira capturas de tela. Gera tráfego baseado em navegador sem plugins stealth (detectável como automação). |
| 02 | 02-puppeteer-stealth.sh | puppeteer, puppeteer-extra-plugin-stealth | Navegação stealth usando puppeteer-extra com o plugin stealth. Tenta evadir a detecção de bots corrigindo propriedades do navigator, WebGL e outras impressões digitais do navegador. |
| 03 | 03-rapid-crawl.sh | curl, wget | Requisições HTTP de alta frequência usando curl e wget em rápida sucessão. Simula o comportamento de um scraper sem atraso entre requisições e rotação agressiva de User-Agent. |
| 04 | 04-form-interaction.sh | playwright | Preenchimento e envio automatizado de formulários contra o login do DVWA, registro do Juice Shop e endpoints da API VAmPI usando as APIs de interação com formulários do Playwright. |
Comportamento Esperado do F5 XC: A Defesa contra Bots deve classificar o tráfego como automatizado com base na análise de impressão digital do navegador, temporização das requisições e resultados de desafios JavaScript. O Chrome headless sem stealth deve ser detectado imediatamente. Os testes com Puppeteer stealth verificam se técnicas avançadas de evasão conseguem contornar a detecção. O painel de Defesa contra Bots mostrará categorias de classificação de bots e ações de mitigação.
cdn-load-testing
Seção intitulada “cdn-load-testing”Scripts: 18 | Duração Estimada: 20-30 minutos
Testes de comportamento de cache CDN e proteção de origem. Inclui throughput de linha de base, isolamento de query string, variação de accept-encoding, simulação de thundering herd, bypass de POST/PUT, colisão de chave de cache, GET condicional, requisição de range, simulação de purga, esgotamento de pool de conexão, otimização de keepalive, overhead de handshake TLS, cache de objetos grandes, failover de múltiplas origens, limitação de taxa, testes de taxa de compressão gzip, multiplexação HTTP/2 e benchmark kraken combinado. Tem como alvo a aplicação CDN Simulator.
Funcionalidade F5 XC: Integração CDN
crapi-exploits
Seção intitulada “crapi-exploits”Scripts: 16 | Duração Estimada: 15-25 minutos
Exploração dos desafios do OWASP crAPI (Completely Ridiculous API). Inclui registro/autenticação, BOLA de localização de veículo, BOLA de relatórios de mecânico, força bruta de OTP, mecânica de exposição de dados, exposição excessiva de dados, atribuição em massa de pedidos, validação de cupom via SSRF, injeção NoSQL, manipulação de JWT, dashboard IDOR, bypass de 2FA, acesso interno à API, poluição de parâmetros do lado do servidor, exclusão de usuário e IDOR de upload de vídeo. Tem como alvo a aplicação crAPI.
Funcionalidade F5 XC: Segurança de API
csd-demo-attacks
Seção intitulada “csd-demo-attacks”Scripts: 5 (JavaScript) | Duração Estimada: 3-5 minutos
Ataques de injeção JavaScript do lado do cliente. Inclui injeção de skimmer de cartão, formjacker, keylogger, criptominerador e scripts de sequestro de DOM. Testa ataques de cadeia de suprimentos do lado do cliente no estilo Magecart que o F5 XC Client-Side Defense detecta e bloqueia. Tem como alvo a aplicação CSD Demo.
Funcionalidade F5 XC: Defesa do Lado do Cliente
demoapp-attacks
Seção intitulada “demoapp-attacks”Scripts: 2 | Duração Estimada: 2-3 minutos
Payloads de ataque direcionados contra os endpoints de teste WAF integrados do F5 DemoApp (/WAF/SQL, /WAF/XSS, /WAF/DIR). Envia payloads de injeção SQL, XSS e path traversal diretamente aos endpoints projetados para demonstrar o comportamento de bloqueio do WAF. Use esta suíte ao ter como alvo o servidor de conteúdo DemoApp em vez das aplicações padrão do servidor de origem.
Funcionalidade F5 XC: WAF (Web Application Firewall)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-sqli-waf-endpoint.sh | curl, python3 | 15 payloads de injeção SQL contra /WAF/SQL?age= incluindo UNION SELECT, DROP TABLE, WAITFOR DELAY, xp_cmdshell, bypass baseado em comentários e payloads de lógica booleana. |
| 02 | 02-xss-waf-endpoint.sh | curl, python3 | 18 payloads de XSS contra /WAF/XSS?update= incluindo tags script, manipuladores de eventos (onerror, onload, ontoggle, onfocus), eval em base64, expressão de estilo, payloads políglotas e exfiltração de cookies. |
Comportamento Esperado do F5 XC: O WAF deve bloquear requisições contendo payloads de injeção SQL e XSS e retornar uma página de bloqueio. O painel de Eventos de Segurança mostrará categorias de violação e correspondências de assinatura para cada requisição bloqueada.
dvga-exploits
Seção intitulada “dvga-exploits”Scripts: 9 | Duração Estimada: 8-12 minutos
Exploração de vulnerabilidades específicas de GraphQL contra o Damn Vulnerable GraphQL Application. Inclui DoS por consulta em lote, recursão profunda, duplicação de campos, injeção SQL via filtro, XSS via createPaste, DoS baseado em alias, abuso de introspecção, bypass de autorização e divulgação de informações. Tem como alvo a aplicação DVGA.
Funcionalidade F5 XC: Segurança de API (GraphQL)
dvwa-exploits
Seção intitulada “dvwa-exploits”Scripts: 14 | Duração Estimada: 15-25 minutos
Testes do OWASP Top 10 contra o Damn Vulnerable Web Application. Inclui força bruta, injeção de comandos, alteração de senha via CSRF, inclusão de arquivo, upload de arquivo, injeção SQL (cega), injeção SQL (union), XSS (DOM), XSS (refletido), XSS (armazenado), bypass de CAPTCHA, IDs de sessão fracos, CORS inseguro e redirecionamento aberto. Tem como alvo a aplicação DVWA.
Funcionalidade F5 XC: WAF
javascript-exploits
Seção intitulada “javascript-exploits”Scripts: 3 | Duração Estimada: 3-5 minutos
Padrões de injeção de script do lado do cliente e manipulação de DOM que acionam a detecção do Client-Side Defense. Inclui injeção de script inline imitando skimmers no estilo Magecart, manipulação de DOM via Chromium headless e simulação de scripts de terceiros. Tem como alvo a aplicação CSD Demo.
Funcionalidade F5 XC: Client-Side Defense (CSD)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-inline-script-injection.sh | curl | Envia requisições contendo payloads JavaScript inline projetados para imitar skimmers de cartão de crédito no estilo Magecart e scripts de exfiltração de dados. |
| 02 | 02-dom-manipulation.sh | playwright | Usa o Chromium headless para carregar a página de demonstração CSD e injetar modificações no DOM: adicionando tags script, modificando ações de formulário e inserindo iframes invisíveis que exfiltram dados de formulário. |
| 03 | 03-third-party-script-sim.sh | curl, playwright | Simula scripts de terceiros comprometidos injetando requisições que referenciam fontes JavaScript externas e tentando carregar scripts não autorizados no contexto da página. |
Comportamento Esperado do F5 XC: O Client-Side Defense deve detectar modificações não autorizadas de scripts na página protegida. O painel CSD mostrará alertas para novas fontes de scripts, elementos DOM modificados e tentativas de exfiltração de dados. Isso valida a funcionalidade da Fase 2 do CSD.
juice-shop-exploits
Seção intitulada “juice-shop-exploits”Scripts: 12 | Duração Estimada: 10-18 minutos
Exploração dos desafios do OWASP Juice Shop. Inclui bypass de login por injeção SQL, union de pesquisa por injeção SQL, XSS DOM refletido, XSS armazenado via API, acesso a cesta via IDOR, acesso à seção administrativa, feedback forjado, acesso a arquivo com null byte, XSS refletido na pesquisa, injeção de cabeçalho HTTP, registro repetitivo e força bruta de login. Tem como alvo a aplicação Juice Shop.
Funcionalidade F5 XC: WAF, Defesa contra Bots
mitre-attack
Seção intitulada “mitre-attack”Scripts: 8 | Duração Estimada: 10-15 minutos
Simulação de táticas do framework MITRE ATT&CK. Inclui reconhecimento (varredura externa), acesso inicial (preenchimento de credenciais), execução (injeção de comandos), acesso a credenciais (senhas padrão), descoberta (enumeração de diretórios), simulação de movimento lateral, coleta (raspagem de dados) e simulação de exfiltração. Mapeia cada script para uma tática específica do MITRE ATT&CK para relatórios estruturados de cobertura de ameaças. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: WAF, Defesa contra Bots, Segurança de API
owasp-scanning
Seção intitulada “owasp-scanning”Scripts: 10 | Duração Estimada: 20-35 minutos
Suite abrangente de varredura OWASP usando scanners de vulnerabilidade dedicados. Inclui varredura de linha de base ZAP, varredura ativa ZAP, varredura completa Nikto, varredura completa Nuclei, varredura de vulnerabilidades Nmap, auditoria SSL/TLS, fuzzing de diretórios, enumeração de subdomínios, impressão digital de tecnologia e geração de relatório OWASP combinado. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: WAF, Varredura de Aplicações Web
performance-testing
Seção intitulada “performance-testing”Scripts: 12 | Duração Estimada: 15-30 minutos
Testes de características de desempenho sob vários padrões de carga. Inclui rampa de concorrência, throughput por aplicação, carga sustentada, rotatividade de conexão, ataque misto + carga, testes de pico, teste de resistência, descoberta de ponto de ruptura, percentis de tempo de resposta, taxa de erros sob carga, esgotamento de recursos e análise de distribuição de latência. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: DDoS, Limitação de Taxa
reconnaissance
Seção intitulada “reconnaissance”Scripts: 6 | Duração Estimada: 8-15 minutos
Varredura de rede, enumeração de serviços e força bruta de diretórios contra a infraestrutura alvo. Inclui detecção de serviço nmap, varreduras de porta masscan, força bruta de diretórios, enumeração de subdomínios, impressão digital de tecnologia web e reconhecimento DNS. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: WAF / Defesa contra Bots
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-nmap-scan.sh | nmap | Detecção de versão de serviço e varredura com script padrão contra as portas HTTP/HTTPS do alvo. |
| 02 | 02-masscan-sweep.sh | masscan | Varredura de portas de alta velocidade nas portas web comuns (80, 443, 8080, 8443) com limitação de taxa. |
| 03 | 03-gobuster-dirs.sh | gobuster | Força bruta de diretórios usando a wordlist comum do SecLists contra todos os prefixos de aplicação. |
| 04 | 04-subfinder-enum.sh | subfinder, httpx | Enumeração passiva de subdomínios para o domínio alvo, seguida de sondagem HTTP dos hosts descobertos. |
| 05 | 05-whatweb-fingerprint.sh | whatweb | Impressão digital de tecnologia web do alvo e de todos os caminhos de aplicação. |
| 06 | 06-dns-recon.sh | dnsrecon, fierce, dig | Enumeração de registros DNS, tentativas de transferência de zona e consultas reversas para o domínio alvo. |
Comportamento Esperado do F5 XC: O WAF deve detectar e registrar a atividade de varredura. A Defesa contra Bots pode classificar requisições sequenciais rápidas como automatizadas. O painel de Eventos de Segurança mostrará assinaturas de reconhecimento e strings de User-Agent de ferramentas de varredura.
restaurant-exploits
Seção intitulada “restaurant-exploits”Scripts: 11 | Duração Estimada: 10-18 minutos
Testes do OWASP API Security Top 10 2023 contra a aplicação Restaurant API. Inclui registro/autenticação, BOLA de perfil, BOLA de pedidos, atribuição em massa BOPLA, escalonamento de privilégios BFLA, bypass de limitação de taxa, injeção SQL no menu, injeção de comandos em estatísticas de disco, SSRF de URL de imagem, segredo JWT fraco e exposição de dados sensíveis. Tem como alvo a aplicação Restaurant API.
Funcionalidade F5 XC: Segurança de API
ssl-scanning
Seção intitulada “ssl-scanning”Scripts: 3 | Duração Estimada: 3-5 minutos
Análise de configuração TLS/SSL do endpoint HTTPS do balanceador de carga F5 XC. Enumera suítes de cifras, versões de protocolo, detalhes de certificado e verifica vulnerabilidades conhecidas de TLS. Tem como alvo o endpoint do balanceador de carga F5 XC.
Funcionalidade F5 XC: WAF (informacional)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-sslscan.sh | sslscan | Enumera suítes de cifras suportadas, versões de protocolo e detalhes de certificado. |
| 02 | 02-sslyze.sh | sslyze | Análise abrangente de TLS incluindo validação de certificado, ordenação de suíte de cifras e verificações de vulnerabilidades (Heartbleed, ROBOT, etc.). |
| 03 | 03-testssl.sh | testssl.sh | Avaliação completa de TLS usando o framework testssl.sh. Testa suporte a protocolos, preferências de cifras, análise de cabeçalhos e vulnerabilidades conhecidas. |
Comportamento Esperado do F5 XC: A varredura SSL gera muitos handshakes TLS com propostas incomuns de suíte de cifras. Embora o F5 XC normalmente não bloqueie esses tráfegos, o padrão de tráfego é visível nos logs de acesso. O valor principal é verificar se a configuração TLS do F5 XC atende às melhores práticas de segurança.
traffic-generation
Seção intitulada “traffic-generation”Scripts: 4 | Duração Estimada: 5-10 minutos (configurável)
Tráfego HTTP legítimo de alto volume para medição de linha de base e testes de carga. Estabelece padrões de tráfego normais nas análises do F5 XC para comparação com o tráfego da suíte de ataques. Tem como alvo todas as aplicações.
Funcionalidade F5 XC: Todas (comparação de linha de base)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-baseline-http.sh | curl | Requisições HTTP GET sequenciais para todos os caminhos de aplicação com User-Agent padrão de navegador. Estabelece uma linha de base de tráfego normal nas análises do F5 XC. |
| 02 | 02-concurrent-load.sh | curl | Requisições HTTP paralelas usando curl com múltiplas conexões concorrentes. Testa o tratamento de carga e estabelece linhas de base de throughput. |
| 03 | 03-mixed-methods.sh | curl | Métodos HTTP mistos (GET, POST, PUT, DELETE) contra endpoints de API com payloads válidos. Gera padrões de tráfego de API normais para comparação com tráfego de ataque. |
| 04 | 04-user-journey.sh | playwright | Simula uma jornada de usuário realista: navegando em páginas, pesquisando produtos, preenchendo formulários e navegando entre aplicações usando o Playwright com configurações padrão de navegador. |
Comportamento Esperado do F5 XC: Todas as requisições nesta suíte devem passar sem intervenção do WAF ou da Defesa contra Bots. Use esta suíte para gerar tráfego “limpo” no painel de análises e, em seguida, compare com o tráfego da suíte de ataques para demonstrar a diferença entre padrões de requisição legítimos e maliciosos.
waf-encoding-evasion
Seção intitulada “waf-encoding-evasion”Scripts: 7 | Duração Estimada: 5-10 minutos
Ataques de evasão com codificação em múltiplas camadas projetados para testar se um WAF normaliza e decodifica corretamente os payloads antes da inspeção. Abrange codificação URL simples, dupla e tripla; codificação de entidade HTML (decimal, hexadecimal, nomeada, com zeros à esquerda); inserção Unicode/UTF-8 (espaço de largura zero, BOM, caracteres de largura completa, hífen suave, sequências longas demais); codificação mista/aninhada em múltiplas camadas (entidades HTML codificadas em URL, URL dupla dentro de entidades, pilhas de 3 camadas); injeção de null byte; codificação IIS %uXXXX; manipulação de capitalização; divisão de corpo por codificação de transferência fragmentada; evasão de parâmetros Base64; e payloads codificados em cabeçalho/cookie. Tem como alvo qualquer aplicação.
Funcionalidade F5 XC: WAF (profundidade de normalização de codificação)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-url-encoding.sh | curl | Codificação URL simples, dupla e tripla de payloads de SQLi, XSS e path traversal em múltiplos caminhos de endpoint. Testa se o WAF decodifica parâmetros de URL recursivamente. |
| 02 | 02-html-entity-encoding.sh | curl, python3 | Codificação de entidade HTML decimal, hexadecimal, nomeada e com zeros à esquerda de payloads de ataque tanto em parâmetros GET quanto em corpos POST. Inclui injeção de template via {{7*7}}. |
| 03 | 03-unicode-utf8-evasion.sh | curl | Inserção de espaço de largura zero (U+200B), BOM (U+FEFF), caractere de largura completa, hífen suave e ZWNJ em palavras-chave SQL e tags XSS. Testa sequências UTF-8 longas demais (2 bytes e 3 bytes). |
| 04 | 04-mixed-nested-encoding.sh | curl | Payloads em múltiplas camadas: entidades HTML codificadas em URL, URL dupla dentro de entidades, pilhas de três camadas, corpo JSON com escapes Unicode (<), e o padrão específico de injeção de template {{7*7}} do usuário. |
| 05 | 05-null-byte-iis-base64.sh | curl | Injeção de null byte (%00) para bypass de extensão, codificação Unicode IIS %uXXXX e payloads codificados em Base64 em parâmetros de URL com flags de decodificação. |
| 06 | 06-case-chunked-evasion.sh | curl | Aleatorização de capitalização combinada com codificação (%3CsCrIpT%3E), codificação de transferência fragmentada para dividir palavras-chave SQL/XSS em chunks HTTP, sondas de conflito Content-Length/Transfer-Encoding e separadores de caminho alternativos (%5c, %c0%af). |
| 07 | 07-header-cookie-evasion.sh | curl | Payloads de ataque codificados injetados via cabeçalhos Cookie, Referer, User-Agent, X-Forwarded-For e X-Original-URL. Testa se o WAF inspeciona e decodifica todos os campos de cabeçalho HTTP, não apenas parâmetros de consulta e corpos POST. |
Comportamento Esperado do F5 XC: Um WAF corretamente configurado deve normalizar todas as camadas de codificação antes da correspondência de padrões. Payloads com codificação simples devem ser bloqueados imediatamente. Os testes de codificação dupla e tripla revelam a profundidade do pipeline de decodificação do WAF. Os testes de inserção Unicode revelam se caracteres invisíveis são removidos antes da correspondência de palavras-chave. Resultados onde variantes codificadas passam enquanto equivalentes em texto simples são bloqueados indicam lacunas de normalização na política do WAF.
web-app-attacks
Seção intitulada “web-app-attacks”Scripts: 6 | Duração Estimada: 12-20 minutos
Testes de vulnerabilidades de aplicações web do OWASP Top 10 contra o Juice Shop e o DVWA através do F5 XC. Inclui injeção SQL, XSS, injeção de comandos, path traversal, varredura Nikto e varredura baseada em templates Nuclei. Tem como alvo as aplicações Juice Shop e DVWA.
Funcionalidade F5 XC: WAF (Web Application Firewall)
| Ordem | Script | Ferramentas | Descrição |
|---|---|---|---|
| 01 | 01-sqli.sh | sqlmap, curl | Payloads de injeção SQL contra a API de pesquisa do Juice Shop e o endpoint SQLi do DVWA. Executa varreduras automatizadas do sqlmap e, em seguida, envia 10 payloads de injeção diretos baseados em curl. |
| 02 | 02-xss.sh | dalfox, curl | Cross-site scripting contra endpoints refletidos/armazenados de XSS do Juice Shop e do DVWA. Executa varreduras automatizadas do dalfox e, em seguida, envia 12 payloads XSS diretos incluindo tags script, manipuladores de eventos e exfiltração de cookies. |
| 03 | 03-command-injection.sh | curl | Payloads de injeção de comandos do SO contra o endpoint exec do DVWA. Envia 12 payloads incluindo cadeias de pipe, ponto e vírgula, novas linhas codificadas em URL e padrões de shell reverso. |
| 04 | 04-path-traversal.sh | curl | Path traversal contra múltiplos endpoints de aplicação. Testa traversals padrão ../, variantes codificadas em URL, variantes com dupla codificação, variantes com null byte e variantes Unicode em 6 caminhos de endpoint. |
| 05 | 05-nikto-scan.sh | nikto | Varredura completa de vulnerabilidades de servidor web com limite de tempo de 120 segundos. Gera diversas requisições HTTP que acionam a correspondência de assinaturas do WAF. |
| 06 | 06-nuclei-scan.sh | nuclei | Varredura de vulnerabilidades baseada em templates nos níveis de severidade médio, alto e crítico. Taxa limitada a 50 requisições/segundo. |
Comportamento Esperado do F5 XC: O WAF deve bloquear ou sinalizar requisições contendo payloads de injeção SQL, XSS, injeção de comandos e path traversal. O painel de Eventos de Segurança mostrará categorias de violação, IDs de assinatura e detalhes de requisição para cada requisição bloqueada.