ヘッドレスブラウザは、サーバ環境などでHTMLをレンダリングするためにバックグラウンドで動作させるブラウザです。 筆者も昨年診断ツールに組み込んだのを契機に使用し始めました。使ってみるとなかなか面白いので、今年は社内での学習用の「やられサイト」にも組み込んでみました。今回はこのやられサイトを題材にして、ヘッドレスブラウザとSSRF(Server-side request forgery)について書きます。 やられサイトの概要 開発したやられサイトは簡単なブックマークサイトです。ユーザがURLを入力すると、そのスクリーンショット画像をヘッドレスブラウザで取得して、ユーザが付けたコメントなどの付加情報とともに保存します。 下図はヘッドレスブラウザに関連する部分の構成です。 図のとおりNode.jsのPuppeteerを使用しており、バックエンドのブラウザエンジンはChromiumです。性能向上
![ヘッドレスブラウザとSSRF | 技術者ブログ | 三井物産セキュアディレクション株式会社](https://cdn-ak-scissors.b.st-hatena.com/image/square/012282426beb860ea62073689ed49a3c0dc028e9/height=288;version=1;width=512/https%3A%2F%2Fwww.mbsd.jp%2Fassets%2Fimages%2Fthumbnails%2Fthumb_research_20190605_01.png)