1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
### Noxway β Testservice 2
### Testservice2 ist ein Load-Balance-Endpoint von Testservice1.
### Es wird nur geroutet wenn der Header "system: dev" gesetzt ist.
@base = http://127.0.0.1:8080
@prefix = {{base}}/v1
# ββ Direct backend call βββββββββββββββββββββββββββββββββββββββββββββββββββββββ
### Direct β GET /testservice2
GET {{base}}/testservice2
###
# ββ Via Gateway β Header-Routing ββββββββββββββββββββββββββββββββββββββββββββββ
### Gateway β ohne "system: dev" β landet auf testservice1 (BasicEndpoint)
GET {{prefix}}/testservice1
###
### Gateway β mit "system: dev" β wird auf testservice2 geroutet
GET {{prefix}}/testservice1
system: dev
###
### Gateway β mit Authorization + Header-Routing
GET {{prefix}}/testservice1
system: dev
Authorization: Bearer <your-token-here>
###
# ββ POST requests βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
### Gateway β POST (Header-Routing)
POST {{prefix}}/testservice1
Content-Type: application/json
system: dev
{
"key": "value",
"test": true
}
###
### Gateway β POST ohne Routing-Header (geht auf BasicEndpoint)
POST {{prefix}}/testservice1
Content-Type: application/json
{
"key": "value"
}
###
# ββ WAF probes auf testservice2-Route ββββββββββββββββββββββββββββββββββββββββ
### WAF β SQLi im Body (sollte 403 zurΓΌckgeben)
POST {{prefix}}/testservice1
Content-Type: application/json
system: dev
{
"query": "1' OR '1'='1"
}
###
### WAF β XSS im Body
POST {{prefix}}/testservice1
Content-Type: application/json
system: dev
{
"comment": "<script>alert(document.cookie)</script>"
}
###
|