浏览器拨测:将网站护航的阵地再前推一米

作者:泉思

“从你在地址栏里敲下回车开始到你在网页上看到内容中间经过了哪些步骤”, 这是一个非常常见的互联网公司的面试题。想必很多开发者对于这个问题可以给出一个非常完整的回答,但是对于用户来说,在网页上看到内容仅仅是服务的开始,在网页上进行各种操作才是服务的过程。

建立对整个服务周期的可观测能力并对其中潜在的攻击做出识别,是保证内容合规和服务质量的重要的基础能力。近年来,针对网站的攻击形式愈发多样,手段也变得更加隐蔽,使用浏览器拨测来监控服务的整个生命周期有助于及时发现攻击,保护核心业务链路不受损。

从攻击的具体案例开始谈起

polyfill.io 供应链攻击事件

polyfill.js 是一个可以帮助旧浏览器支持新浏览器特性的 JS 库。有大量的站点通过 polyfill 的开源 CDN 分发站点 polyfill.io 来引入 polyfill 库,用于自己的前端页面。该站点及其 Github 账号在被某家公司收购后,该站点的分发内容中开始加入恶意内容,可能引导使用其服务的网站用户重新跳转至体育赌博或其它恶意站点。Sansec 等安全公司发布调查报告,确认了 polyfill.io 提供的脚本中存在的恶意代码,并建议使用 polyfill.io 等网站立刻删除受到感染的脚本。

截止到 2024 年 7 月 2 日,仍有超过 38 万台主机在其 HTTP 响应中包含对 “https://cdn.polyfill[.]io” 或 “https://cdn.polyfill[.]com” 的引用,受到恶意代码的攻击。

BootCDN 投毒事件

BootCDN 投毒的最早记录可以追溯到 2023 年 6 月份,此时有一些用户开始发现部分静态资源内存在投毒行为。这些行为包括但不限于访问外站 URL,加载大量其他内容,影响网页正常加载,以及加载无关广告等行为。由于投毒者针对依赖的 JS 库进行投毒,其行为多变,有可能是针对命中了某种规则的 Header,也有可能是随机时间段进行行动,无论是个人建站者还是大型机构的网站都难以快速做出识别并相应。一些常见的库,如 highlight.js、vconsole.min.js、react-jsx-dev-runtime.development.js 都被投毒并影响了大量的用户。

供应链攻击的特点以及当前的止血方案的不足

上述两次攻击都属于针对前端的供应链投毒的类型,其特点是恶意的前端代码被注入用户的浏览器页面,服务端对这类攻击的感知比较困难,开发者往往通过媒体或者安全厂商的提醒才察觉到这类攻击的发生,此时攻击已经发生了一段时间,一些正规的云厂商已经作出反应屏蔽相关站点,托管在这些站点上的前端依赖无法下载,可能会造成正常业务受损。同时长时间的劫持和内容插入也会带来非常高的合规和隐私风险,为业务带来额外的维护成本。此时再做出更换 CDN 站点的行为,往往已经蒙受较大损失。因此对于这类攻击,发现得越早,付出的损失和承受的风险就越低。

浏览器拨测提供的能力

看见协议拨测之后发生的事情

普通的协议拨测提供了从网络层到应用层的多种协议实现,可以实时监控探测节点到用户服务的各层网络的连通性,并对返回的结果进行断言。但协议拨测无法监控用户打开目标网站时的完整使用体验,对于网站加载过程中的异步资源和一些动态资源也难以进行验证。

如上文所说,针对前端进行攻击的供应链投毒往往通过在常用的 JS 库中注入恶意代码,这些经过投毒的 js 库随着网页的加载被下载到当前的浏览器中。应对这种情况,阿里云浏览器拨测提供了完整对用户使用体验的监控, 通过使用真正浏览器对目标站点进行访问,可以完整地监控包括页面关键元素/文字,资源加载列表,以及通过多步拨测监控关键业务链路的完整性,为网站提供全面的监控,及时发现 CDN 投毒,保障业务的持续性和安全性。

浏览器拨测提供了多种断言能力和模拟用户操作的能力。这些能力使得浏览器拨测对于用户的完整使用体验可以进行全方位的监控,并进行简单的业务完整性验证,将网站护航的阵地从主 URL 的请求成功再往前推进一米,扩展到网站页面加载完毕。

丰富的断言能力

通过锚点元素/文字发现 CDN 投毒

浏览器拨测任务会在探测点上通过真实的浏览器去访问目标网站。通过设置锚点元素和文字,可以对页面的关键信息进行持续性监控,当页面的关键信息被篡改时可以第一时间发现并报警,具体例子如下。

如上图所示,需要监控的页面是www.aliyun_example_browser_task.com (一个并不存在的地址,仅做示例)。在页面文字断言中添加需要断言的页面字符黑名单。持续监控黑名单上的文字是否出现在自己的页面上。如果出现在自己的页面上,即认为发生了流量劫持,需要做出相应处理。在收到报警之后,用户可以及时地发现问题并在报警地区排查问题。

在另外一些场景下,网站上存在某些对业务至关重要的文字信息,可以通过这些文字信息来大致判断当前业务的可用性。此时可以通过设置页面字符白名单来监控这类信息。当白名单中的字符不存在时,即可认为发生了劫持。

通过请求元素黑名单/白名单发现流量劫持

除了针对页面上的关键信息进行断言之外,浏览器拨测也提供了对页面加载资源进行断言的能力。

浏览器拨测提供了流量劫持检查的能力。通过检查网页加载过程中的资源加载数量,以及设置资源加载的黑白名单来判断当前页面是否发生了劫持。设置资源个数阈值,可以监控网页加载过程中,请求的资源数量,如果超过这个数量,则认为发生了流量劫持。设置资源黑名单,可以及时地发现网页加载过程中有哪些预期以外的请求。设置资源白名单,可以发现网页加载过程中白名单以外的所有资源。通过丰富的流量劫持检查,来及时地发现网页加载过程中的“不速之客”,第一时间发现由 CDN 投毒引起的流量劫持,将业务上的损失控制在最小规模。

多步拨测持续监控业务关键链路

除了简单地打开关键页面,监控页面加载的全过程以外,阿里云监控还提供了浏览器多步拨测,可以通过配置在探针上模拟关键业务链路的执行全过程,并对该过程中的用户体验和业务完整性进行监控。

在使用多步拨测的浏览器任务中,用户可以自己编辑一个录制脚本,在每次的拨测执行过程中,探针都按照录制好的脚本执行既定操作,并在该过程中对网页进行检查。浏览器多步拨测提供了丰富的操作能力和断言能力。

通过脚本录制功能可以捕捉到五种常见操作,分别是左键单击,输入文字,按键,右键单击,双击。此外在特殊操作中,还可以设置两种特殊操作,分别是鼠标悬浮和等待。

我们提供了两种级别的断言,分别是元素级别和页面级别。元素级别的断言基于页面中存在的 dom 元素进行断言,需要先使用页面内置的元素捕捉器或自定义 css 选择器和 xpath 选择器选中元素。

三种元素级别的断言能力分别根据元素的内容,元素存在的属性,以及元素是否存在返回拨测执行结果。

页面级别的断言则针对整个页面的内容进行断言操作,分别可以设置黑名单文本和白名单文本来验证当前业务的完整性,通过 URL 断言来测试关键业务路径中是否发生流量劫持。

浏览器多步拨测在单步拨测的基础上,提供了丰富的自定义操作和断言。使用这些能力对业务关键路径进行验证,可以发现隐蔽的供应链投毒/流量劫持操作,对业务的完整性和合规性进行监控。及时发现受损业务,保障业务的安全。

详细的数据展示

浏览器拨测提供了丰富的数据展示能力,保存了每一次拨测过程中所有请求的详细加载信息。用户不仅可以利用浏览器拨测进行安全检测,也可以利用浏览器拨测持续监控页面加载的整个过程,及时发现影响页面加载速度的资源。

详细步骤里记录了多步拨测的每一步的具体信息,勾选截图后还可以获取每一步的页面截图,在发生报警时可以帮助用户及时定位问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/888184.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Modern Effective C++ 条款二十七:熟悉通用引用重载的替代方法

item26中说明对使用通用引用形参的函数,无论是独立函数还是成员函数,进行重载都会导致一系列问题。但是也提供了一些示例,如果能够按照我们期望的方式运行,重载可能也是有用的。这个条款探讨了几种通过避免在通用引用上重载的设计…

【RL Application】语义分割中的强化学习方法

📢本篇文章是博主强化学习(RL)领域学习时,用于个人学习、研究或者欣赏使用,并基于博主对相关等领域的一些理解而记录的学习摘录和笔记,若有不当和侵权之处,指出后将会立即改正,还望谅…

【C++】优先队列(Priority Queue)全知道

亲爱的读者朋友们😃,此文开启知识盛宴与思想碰撞🎉。 快来参与讨论💬,点赞👍、收藏⭐、分享📤,共创活力社区。 目录 一、前言 二、优先队列(Priority Queue&#xff09…

【SQL】实战--组合两个表

题目描述 表: Person ---------------------- | 列名 | 类型 | ---------------------- | PersonId | int | | FirstName | varchar | | LastName | varchar | ---------------------- personId 是该表的主键(具有唯一值的列)…

STL:相同Size大小的vector和list哪个占用空间多?

在C中,vector和list是两种不同的序列容器。vector底层是连续的内存,而list是非连续的,分散存储的。因此,vector占用的空间更多,因为它需要为存储的元素分配连续的内存空间。 具体占用多少空间,取决于它们分…

《Serverless 架构:引领未来软件开发的新趋势》

一、引言 随着云计算技术的不断发展,软件开发模式也在不断演进。Serverless 架构作为一种新兴的云计算架构模式,正在逐渐改变着软件开发的方式和流程。本文将深入探讨 Serverless 架构的概念、特点、应用场景以及未来发展趋势。 二、Serverless 架构概述…

Java的关键字和保留字

理解什么是关键字? Java赋予了某些单词特殊意义,就不能自己在代码中起同名一样的,否则提示错误 【在Java中关键字都是小写的,并不是所有的小写字母都是关键字,一般在IDEA中显示高亮橘黄色】 理解什么是保留字&#xf…

三十二:HTTP 协议的基本认证

在 Web 开发中,HTTP 协议提供了一种简单的方式来进行身份验证,即 基本认证(Basic Authentication)。这种认证方式广泛应用于需要保护的资源或 API 接口,它通过在 HTTP 请求头中传递用户名和密码来验证用户身份。虽然基…

GPT vs Claude到底如何选?

美国当地时间6月20日,OpenAI的“劲敌”Anthropic公司发布了最新模型Claude 3.5 Sonnet。据Anthropic介绍,该模型是Claude 3.5系列模型中的首个版本,也是Anthropic迄今为止发布的“最强大、最智能”的模型。它不仅在性能上超越了竞争对手和自家…

Ubuntu 22.04 LTS vs Ubuntu 24.04 LTS:深度剖析,哪个版本更胜一筹?

在开源操作系统领域,Ubuntu一直以其稳定、易用和丰富的功能而受到广泛好评。随着Ubuntu 24的发布,许多用户开始关注这两个版本之间的差异,并考虑是否应该升级到最新版本。鼎峰新匯Benson将对比Ubuntu 22和Ubuntu 24,以帮助用户做出…

Ubuntu 22.04 离线安装软件包

在使用最小化安装时,默认是不带有vim 或者nano编辑器的,如果你的环境不能上外网就需要离线安装。 首先你需要先找一台可以上网的ubuntu系统(虚拟机搭建也行),下载所有的依赖包,然后上传到需要安装的服务器…

k8s 1.28 二进制安装与部署

第一步 :配置Linux服务器 #借助梯子工具 192.168.196.100 1C8G kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubectl、haproxy、keepalived 192.168.196.101 1C8G kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubectl、…

unity中:Unity 中异步与协程结合实现线程阻塞的http数据请求

在 Unity 开发中,将协程与 C# 的 async/await 机制结合,可以显著提高代码的可读性与维护性,并且支持返回值。 异步与协程结合在数据请求中的优势 提高代码可读性: 与传统协程相比, async/await 更接近同步逻辑&#xf…

详解QtPDF之 QPdfLink

文章目录 前言QPdfLink 类介绍QPdfLink 的基本功能 QPdfLink 的成员函数1. QPdfLink()2. boundingRect() const3. target() const4. setTarget(const QUrl &target)5. isValid() const 使用 QPdfLink 的示例示例代码代码说明: 总结 前言 在处理 PDF 文档时&…

OGRE 3D----5. OGRE和QML事件交互

在现代图形应用程序开发中,OGRE(Object-Oriented Graphics Rendering Engine)作为一个高性能的3D渲染引擎,广泛应用于游戏开发、虚拟现实和仿真等领域。而QML(Qt Modeling Language)则是Qt框架中的一种声明式语言,专注于设计用户界面。将OGRE与QML结合,可以充分利用OGR…

mysql系列2—InnoDB数据存储方式

背景 本文将深入探讨InnoDB的底层存储机制,包括行格式、页结构、页目录以及表空间等核心概念。通过全面了解这些基础概念,有助于把握MySQL的存储架构,也为后续深入讨论MySQL的索引原理和查询优化策略奠定了基础。 1.行格式 mysql中数据以行…

matlab2024a安装

1.开始安装 2.点击安装 3.选择安装密钥 4.接受条款 5.安装密钥 21471-07182-41807-00726-32378-34241-61866-60308-44209-03650-51035-48216-24734-36781-57695-35731-64525-44540-57877-31100-06573-50736-60034-42697-39512-63953 6 7.选择许可证文件 8.找许可证文件 9.选…

交换机四大镜像(端口镜像、流镜像、VLAN镜像、MAC镜像)应用场景、配置实例及区别对比

在网络管理中,端口镜像、流镜像、VLAN镜像和MAC镜像都是用于监控和分析网络流量的重要技术。 端口镜像(Port Mirroring) 定义:端口镜像是将一个或多个源端口的流量复制到一个目标端口,以便于网络管理员能够监控和分析…

JVM知识点学习-1

学习视频:狂神说Java 类加载器和双亲委派机制 类加载器 作用:加载Class文件 流程:这里的名字car1。。在栈里面,但是数据在堆里面 类加载器的几个类型: 虚拟机自带的类加载器;启动类(根Boot…

Linux下的三种 IO 复用

目录 一、Select 1、函数 API 2、使用限制 3、使用 Demo 二、Poll 三、epoll 0、 实现原理 1、函数 API 2、简单代码模板 3、LT/ET 使用过程 (1)LT 水平触发 (2)ET边沿触发 4、使用 Demo 四、参考链接 一、Select 在…