总安装量 16
评分人数 14
page-behavior-audit 是一款专注于网页深度行为审计的安全工具,旨在帮助开发者和安全团队检测潜在的安全漏洞与内容违规。用户可通过 Webhook API 或 CLI 命令触发扫描,工具将启动沙箱化浏览器实例访问目标 URL,自动跟踪页面重定向链,执行内容安全策略检查(基于 SHA256 哈希的敏感词匹配),并监控响应内容以识别 SSRF/XXE 攻击特征。审计完成后,系统会生成全页截图和 HAR 归档文件保存至本地指定目录,一旦检测到关键风险(如非 XML 端点返回 XML 内容),立即通过企业微信 webhook 发送告警通知。
该技能的显著优势在于其安全架构设计。采用 SHA256 哈希存储敏感词策略,确保审计过程中不出现明文敏感词,符合 CSP 合规要求;使用 Ed25519 算法进行签名验证,保障策略文件完整性;浏览器执行环境完全沙箱隔离,防止恶意代码逃逸。此外,代码层面无 eval/exec/system 等危险函数,所有依赖版本严格锁定,输入参数具备完整的 URI 格式校验和超时控制机制(默认 15 秒),有效防范注入攻击和资源耗尽风险。
然而,该工具也存在一定局限性。首先,其来源可信度为 T3 级别(社区开源项目),虽代码质量达到 A 级安全标准,但缺乏知名安全组织的背书。功能上仅支持单 URL 扫描,未提供批量扫描或定时任务能力;依赖 OpenClaw CLI 运行时环境,增加了部署复杂度。审计过程中生成的截图和 HAR 文件可能包含目标网站的敏感信息,需要用户自行确保存储目录的访问权限控制。
该技能特别适合前端开发工程师进行供应链安全检查、DevSecOps 团队实施 CI/CD 流水线安全门禁、安全研究员进行漏洞验证,以及内容合规团队监控网页违规内容。对于需要自动化检测网页重定向劫持、SSRF 漏洞利用尝试、异常内容注入等场景尤为适用。
使用时的主要风险包括:配置的 WeCom webhook URL 如泄露可能导致审计告警信息被第三方截获;本地存储的审计日志和截图若权限配置不当可能造成敏感信息泄露;install.sh 脚本在 --system 安装模式下需要使用 sudo 权限,建议优先使用默认的 --user 模式以避免权限提升风险。此外,作为浏览器自动化工具,扫描未知网站时仍存在潜在的浏览器 0-day 漏洞风险,建议在隔离环境中使用。
.claude