page-behavior-audit

🔍 哈希策略驱动的页面行为审计专家

基于哈希策略的页面行为审计工具,CSP合规检测敏感内容,支持HAR导出与供应链安全分析,15秒超时保障性能。

收藏
7k
安装
2.2k
版本
1.0.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

page-behavior-audit 是一款面向前端安全与供应链合规的自动化审计技能,通过无头浏览器深度扫描目标页面行为。用户仅需提供目标URL,系统将自动完成浏览器启动、导航等待、重定向劫持、内容提取、敏感词哈希检测、响应监控、截图存档及HAR导出等全流程。

显著优点

1. CSP合规的隐私保护设计:敏感词检测采用SHA256哈希列表而非明文存储,从架构层面消除敏感词库泄露风险,满足企业内容安全策略(CSP)合规要求。
2. 供应链攻击面覆盖:内置XML伪装检测规则(如图片接口返回XML),有效识别SSRF/XXE类攻击向量,适配现代Web供应链安全场景。

3. 行为级可观测性:通过注入JavaScript劫持location.assignlocation.replace,完整捕获页面重定向链,辅助追踪恶意跳转或钓鱼行为。

4. 企业级告警闭环:检测到CRITICAL级别事件时自动触发企业微信告警,实现"检测-响应"自动化。

潜在局限

  • 沙箱逃逸风险--no-sandbox启动参数虽为容器环境妥协,但理论上扩大攻击面;需依赖底层运行时隔离(如gVisor/Kata)补强。
  • 哈希碰撞盲区:纯哈希匹配策略存在极小概率的碰撞误报,且无法支持语义变体检测(需额外NLP层)。
  • 超时刚性限制:15秒硬超时对重度SPA应用可能不足,导致审计截断。
  • 来源可信度未完全验证:策略源标注为阿里云百炼平台,但哈希列表本身未经第三方公开审计。

适合人群

  • 安全运营团队:需批量审计Landing页、营销活动页的内容合规性。
  • DevSecOps工程师:集成CI/CD流水线,在部署前拦截含敏感信息的构建产物。
  • 红队/渗透测试人员:快速生成页面行为基线与HAR证据链。

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 浏览器RCE | 中 | Chromium漏洞可能通过恶意页面触发,需及时更新基础镜像。 |
| 敏感数据残留 | 低 | 截图/HAR存储于`/var/log/openclaw/audit`,需配置日志生命周期策略。 |
| 策略源单点故障 | 低 | 依赖阿里云百炼服务可用性,建议本地缓存策略哈希。 |

page-behavior-audit 内容

手动下载zip · 2.2 kB
SKILL.mdtext/markdown
请选择文件