page-behavior-audit

🔍 深度网页安全审计与行为监控

OpenClaw 出品的深度网页安全审计工具,通过沙箱化浏览器检测 SSRF/XXE 漏洞与内容违规,生成审计报告并实时告警。

收藏
4.7k
安装
1.7k
版本
v1.0.7
CLS 安全性认证2026-05-09
点击查看完整报告 >

使用说明

page-behavior-audit 是一款专注于网页深度行为审计的安全工具,旨在帮助开发者和安全团队检测潜在的安全漏洞与内容违规。用户可通过 Webhook API 或 CLI 命令触发扫描,工具将启动沙箱化浏览器实例访问目标 URL,自动跟踪页面重定向链,执行内容安全策略检查(基于 SHA256 哈希的敏感词匹配),并监控响应内容以识别 SSRF/XXE 攻击特征。审计完成后,系统会生成全页截图和 HAR 归档文件保存至本地指定目录,一旦检测到关键风险(如非 XML 端点返回 XML 内容),立即通过企业微信 webhook 发送告警通知。

该技能的显著优势在于其安全架构设计。采用 SHA256 哈希存储敏感词策略,确保审计过程中不出现明文敏感词,符合 CSP 合规要求;使用 Ed25519 算法进行签名验证,保障策略文件完整性;浏览器执行环境完全沙箱隔离,防止恶意代码逃逸。此外,代码层面无 eval/exec/system 等危险函数,所有依赖版本严格锁定,输入参数具备完整的 URI 格式校验和超时控制机制(默认 15 秒),有效防范注入攻击和资源耗尽风险。

然而,该工具也存在一定局限性。首先,其来源可信度为 T3 级别(社区开源项目),虽代码质量达到 A 级安全标准,但缺乏知名安全组织的背书。功能上仅支持单 URL 扫描,未提供批量扫描或定时任务能力;依赖 OpenClaw CLI 运行时环境,增加了部署复杂度。审计过程中生成的截图和 HAR 文件可能包含目标网站的敏感信息,需要用户自行确保存储目录的访问权限控制。

该技能特别适合前端开发工程师进行供应链安全检查、DevSecOps 团队实施 CI/CD 流水线安全门禁、安全研究员进行漏洞验证,以及内容合规团队监控网页违规内容。对于需要自动化检测网页重定向劫持、SSRF 漏洞利用尝试、异常内容注入等场景尤为适用。

使用时的主要风险包括:配置的 WeCom webhook URL 如泄露可能导致审计告警信息被第三方截获;本地存储的审计日志和截图若权限配置不当可能造成敏感信息泄露;install.sh 脚本在 --system 安装模式下需要使用 sudo 权限,建议优先使用默认的 --user 模式以避免权限提升风险。此外,作为浏览器自动化工具,扫描未知网站时仍存在潜在的浏览器 0-day 漏洞风险,建议在隔离环境中使用。

安全解读

核心用法

page-behavior-audit 是一款基于浏览器自动化的网页深度行为审计工具,主要面向安全测试人员和运维团队。其核心工作流包括:通过无头浏览器访问目标URL,追踪重定向链,监控响应内容以检测SSRF/XXE等攻击向量,同时抓取完整页面截图并导出HAR网络日志。用户可通过Webhook API(/api/audit/scan)或CLI命令触发扫描,结果包含重定向记录、内容策略违规告警、响应监测告警及取证文件路径。

技术实现上,该Skill采用SHA256哈希存储敏感词策略,彻底规避了明文关键词带来的CSP合规风险;策略文件配置Ed25519签名验证,确保审计规则未被篡改。浏览器执行环境使用Puppeteer/Playwright类方案,支持沙箱隔离(尽管配置为--no-sandbox模式以适应容器环境)。告警通道集成腾讯企业微信Webhook,仅传输聚合后的告警摘要,不泄露原始页面敏感内容。

显著优点

  • CSP合规设计:业界较少见的"零明文敏感词"架构,通过哈希比对实现内容审查,避免策略文件本身成为合规隐患
  • 攻击向量覆盖:针对SSRF(XML出现在非.xml端点)和XXE(图片端点返回XML)的专项检测逻辑具有实用价值
  • 取证完整性:自动生成截图+HAR双证据链,便于安全事件追溯
  • 零依赖攻击面:纯自研实现,无第三方npm依赖,显著降低供应链攻击风险
  • 签名验证机制:策略完整性保护超出同类开源工具平均水平

潜在缺点与局限性

  • T3来源可信度:由社区组织openclaw维护,非Apache/CNCF等顶级基金会背书,长期维护能力和应急响应速度存疑
  • 浏览器沙箱妥协--no-sandbox配置虽为容器环境常见做法,但在多租户场景下削弱了隔离边界
  • 地域合规考量:告警数据经由腾讯企业微信(中国境内服务商)传输,对跨境数据流动敏感的场景需额外评估
  • 误报管理:XXE/SSRF检测基于启发式规则,复杂单页应用(SPA)或API网关场景可能产生噪音

适合人群

  • 中小团队的安全运维人员,需快速搭建轻量级网页监控体系
  • 容器化部署环境(K8s/Docker)中的DevSecOps流程集成
  • 对CSP合规有硬性要求的内容平台审核团队

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| 来源可信度 | 中 | T3级别,建议fork后自主维护关键更新 |
| 浏览器沙箱 | 低 | 容器环境可接受,裸机部署需额外隔离 |
| 外部Webhook依赖 | 低 | 仅传输聚合数据,HTTPS加密传输 |

page-behavior-audit 内容

.claude文件夹
手动下载zip · 6.3 kB
settings.local.jsonapplication/json
请选择文件