スキマーを捕捉するためにクローラーではなく実ブラウザを使う理由

ヘッダーのみのクローラーはサーバーが送るHTMLを見ます。現代のスキマーはそこには存在しません。service workerによって注入されたり、WASMブロブから復号されたり、アンチボットのフィンガープリント検査を通過した後にのみ遅延importされたりします。

実際の訪問者が見るものを見るために、当社は完全に計装されたChromiumインスタンス群を運用します。各インスタンスはJavaScriptを実行し、クッキーを受け入れ、service workerを登録し、決済フローのような合成的な操作を完了します。

計装こそが要点です。すべてのネットワーク起点、動的に挿入されたスクリプト要素、フレーム間のpostMessageを記録します。攻撃者のペイロードは現実的なセッションごとに一度だけ発火しますが、当社は現実的なセッションのように見えるため、それを捕捉します。

これが回避耐性の理由でもあります。navigator.webdriverやheadlessフラグ、プラグインの欠如を確認するスキマーには、本物のように応答するブラウザを提示します。コストは計算資源ですが、得られるのはWAFやDNSフィルターが構造的に到達できない検出です。