Защо използваме истински браузъри, а не обхождащи модули, за да ловим скимери
Модерните атаки се крият от скенери, които четат само заглавки. Ето как нашият инструментиран Chromium флот изпълнява страниците като истински купувач — и защо това има значение.
Обхождащ модул, който чете само заглавки, вижда HTML-а, който сървърът изпраща. Модерните скимери не живеят там. Те се инжектират от service worker, декодират се от WASM блоб или се импортират лениво едва след преминаване на проверка за анти-бот пръстов отпечатък.
За да видим това, което вижда истински посетител, използваме флот от напълно инструментирани инстанции на Chromium. Всяка от тях изпълнява JavaScript, приема бисквитки, регистрира service worker-и и завършва синтетично взаимодействие, като процес на плащане.
Инструментацията е същината. Записваме всеки мрежов инициатор, всеки динамично вмъкнат скрипт елемент и всяко postMessage между рамки. Полезният товар на атакуващия се задейства веднъж на реалистична сесия — и тъй като изглеждаме като реалистична сесия, го улавяме.
Затова и устояваме на заобикаляне. Скимери, които проверяват за navigator.webdriver, headless флагове или липсващи плъгини, получават браузър, който отговаря като истински. Цената е изчислителна мощност; ползата е откриване, на което WAF или DNS филтър структурно не могат да съответстват.