浏览器拨测：将网站护航的阵地再前推一米

作者：泉思

“从你在地址栏里敲下回车开始到你在网页上看到内容中间经过了哪些步骤”， 这是一个非常常见的互联网公司的面试题。想必很多开发者对于这个问题可以给出一个非常完整的回答，但是对于用户来说，在网页上看到内容仅仅是服务的开始，在网页上进行各种操作才是服务的过程。

建立对整个服务周期的可观测能力并对其中潜在的攻击做出识别，是保证内容合规和服务质量的重要的基础能力。近年来，针对网站的攻击形式愈发多样，手段也变得更加隐蔽，使用浏览器拨测来监控服务的整个生命周期有助于及时发现攻击，保护核心业务链路不受损。

从攻击的具体案例开始谈起

polyfill.io 供应链攻击事件

polyfill.js 是一个可以帮助旧浏览器支持新浏览器特性的 JS 库。有大量的站点通过 polyfill 的开源 CDN 分发站点 polyfill.io 来引入 polyfill 库，用于自己的前端页面。该站点及其 Github 账号在被某家公司收购后，该站点的分发内容中开始加入恶意内容，可能引导使用其服务的网站用户重新跳转至体育赌博或其它恶意站点。Sansec 等安全公司发布调查报告，确认了 polyfill.io 提供的脚本中存在的恶意代码，并建议使用 polyfill.io 等网站立刻删除受到感染的脚本。

截止到 2024 年 7 月 2 日，仍有超过 38 万台主机在其 HTTP 响应中包含对 "https://cdn.polyfill[.]io" 或 "https://cdn.polyfill[.]com" 的引用，受到恶意代码的攻击。

BootCDN 投毒事件

BootCDN 投毒的最早记录可以追溯到 2023 年 6 月份，此时有一些用户开始发现部分静态资源内存在投毒行为。这些行为包括但不限于访问外站 URL，加载大量其他内容，影响网页正常加载，以及加载无关广告等行为。由于投毒者针对依赖的 JS 库进行投毒，其行为多变，有可能是针对命中了某种规则的 Header，也有可能是随机时间段进行行动，无论是个人建站者还是大型机构的网站都难以快速做出识别并相应。一些常见的库，如 highlight.js、vconsole.min.js、react-jsx-dev-runtime.development.js 都被投毒并影响了大量的用户。

供应链攻击的特点以及当前的止血方案的不足

上述两次攻击都属于针对前端的供应链投毒的类型，其特点是恶意的前端代码被注入用户的浏览器页面，服务端对这类攻击的感知比较困难，开发者往往通过媒体或者安全厂商的提醒才察觉到这类攻击的发生，此时攻击已经发生了一段时间，一些正规的云厂商已经作出反应屏蔽相关站点，托管在这些站点上的前端依赖无法下载，可能会造成正常业务受损。同时长时间的劫持和内容插入也会带来非常高的合规和隐私风险，为业务带来额外的维护成本。此时再做出更换 CDN 站点的行为，往往已经蒙受较大损失。因此对于这类攻击，发现得越早，付出的损失和承受的风险就越低。

浏览器拨测提供的能力

看见协议拨测之后发生的事情

普通的协议拨测提供了从网络层到应用层的多种协议实现，可以实时监控探测节点到用户服务的各层网络的连通性，并对返回的结果进行断言。但协议拨测无法监控用户打开目标网站时的完整使用体验，对于网站加载过程中的异步资源和一些动态资源也难以进行验证。

如上文所说，针对前端进行攻击的供应链投毒往往通过在常用的 JS 库中注入恶意代码，这些经过投毒的 js 库随着网页的加载被下载到当前的浏览器中。应对这种情况，阿里云浏览器拨测提供了完整对用户使用体验的监控， 通过使用真正浏览器对目标站点进行访问，可以完整地监控包括页面关键元素/文字，资源加载列表，以及通过多步拨测监控关键业务链路的完整性，为网站提供全面的监控，及时发现 CDN 投毒，保障业务的持续性和安全性。

浏览器拨测提供了多种断言能力和模拟用户操作的能力。这些能力使得浏览器拨测对于用户的完整使用体验可以进行全方位的监控，并进行简单的业务完整性验证，将网站护航的阵地从主 URL 的请求成功再往前推进一米，扩展到网站页面加载完毕。

丰富的断言能力

通过锚点元素/文字发现 CDN 投毒

浏览器拨测任务会在探测点上通过真实的浏览器去访问目标网站。通过设置锚点元素和文字，可以对页面的关键信息进行持续性监控，当页面的关键信息被篡改时可以第一时间发现并报警，具体例子如下。

如上图所示，需要监控的页面是www.aliyun_example_browser_task.com （一个并不存在的地址，仅做示例）。在页面文字断言中添加需要断言的页面字符黑名单。持续监控黑名单上的文字是否出现在自己的页面上。如果出现在自己的页面上，即认为发生了流量劫持，需要做出相应处理。在收到报警之后，用户可以及时地发现问题并在报警地区排查问题。

在另外一些场景下，网站上存在某些对业务至关重要的文字信息，可以通过这些文字信息来大致判断当前业务的可用性。此时可以通过设置页面字符白名单来监控这类信息。当白名单中的字符不存在时，即可认为发生了劫持。

通过请求元素黑名单/白名单发现流量劫持

除了针对页面上的关键信息进行断言之外，浏览器拨测也提供了对页面加载资源进行断言的能力。

浏览器拨测提供了流量劫持检查的能力。通过检查网页加载过程中的资源加载数量，以及设置资源加载的黑白名单来判断当前页面是否发生了劫持。设置资源个数阈值，可以监控网页加载过程中，请求的资源数量，如果超过这个数量，则认为发生了流量劫持。设置资源黑名单，可以及时地发现网页加载过程中有哪些预期以外的请求。设置资源白名单，可以发现网页加载过程中白名单以外的所有资源。通过丰富的流量劫持检查，来及时地发现网页加载过程中的“不速之客”，第一时间发现由 CDN 投毒引起的流量劫持，将业务上的损失控制在最小规模。

多步拨测持续监控业务关键链路

除了简单地打开关键页面，监控页面加载的全过程以外，阿里云监控还提供了浏览器多步拨测，可以通过配置在探针上模拟关键业务链路的执行全过程，并对该过程中的用户体验和业务完整性进行监控。

在使用多步拨测的浏览器任务中，用户可以自己编辑一个录制脚本，在每次的拨测执行过程中，探针都按照录制好的脚本执行既定操作，并在该过程中对网页进行检查。浏览器多步拨测提供了丰富的操作能力和断言能力。

通过脚本录制功能可以捕捉到五种常见操作，分别是左键单击，输入文字，按键，右键单击，双击。此外在特殊操作中，还可以设置两种特殊操作，分别是鼠标悬浮和等待。

我们提供了两种级别的断言，分别是元素级别和页面级别。元素级别的断言基于页面中存在的 dom 元素进行断言，需要先使用页面内置的元素捕捉器或自定义 css 选择器和 xpath 选择器选中元素。

三种元素级别的断言能力分别根据元素的内容，元素存在的属性，以及元素是否存在返回拨测执行结果。

页面级别的断言则针对整个页面的内容进行断言操作，分别可以设置黑名单文本和白名单文本来验证当前业务的完整性，通过 URL 断言来测试关键业务路径中是否发生流量劫持。

浏览器多步拨测在单步拨测的基础上，提供了丰富的自定义操作和断言。使用这些能力对业务关键路径进行验证，可以发现隐蔽的供应链投毒/流量劫持操作，对业务的完整性和合规性进行监控。及时发现受损业务，保障业务的安全。

详细的数据展示

浏览器拨测提供了丰富的数据展示能力，保存了每一次拨测过程中所有请求的详细加载信息。用户不仅可以利用浏览器拨测进行安全检测，也可以利用浏览器拨测持续监控页面加载的整个过程，及时发现影响页面加载速度的资源。

详细步骤里记录了多步拨测的每一步的具体信息，勾选截图后还可以获取每一步的页面截图，在发生报警时可以帮助用户及时定位问题。