Navigateur sans tete
Qu'est-ce que Navigateur sans tete ?
Navigateur sans teteNavigateur web qui s'execute sans interface graphique et est pilote par programmation, utilise pour les tests, le scraping et l'automatisation de securite.
Un navigateur headless est un vrai moteur de navigateur (Chromium, Firefox, WebKit) qui execute du JavaScript, rend les pages et gere les cookies comme un navigateur de bureau, mais sans fenetre visible. Il est pilote par des APIs comme Chrome DevTools Protocol, WebDriver BiDi ou des bibliotheques telles que Puppeteer et Playwright. Les navigateurs headless servent aux tests end-to-end, aux services de capture, a la generation de PDF et a des taches de securite comme le scan DAST. Ils sont egalement detournes par les attaquants pour le credential stuffing, le scraping de contenu protege et le contournement de la detection de bots, ce qui pousse les defenses a inspecter les empreintes du navigateur et les signaux comportementaux.
● Exemples
- 01
Lancer Chromium avec --headless=new pour capturer le DOM rendu lors d'un scan DAST.
- 02
Un bot de credential stuffing utilisant Firefox headless pour passer le defi JavaScript du formulaire de connexion.
● Questions fréquentes
Qu'est-ce que Navigateur sans tete ?
Navigateur web qui s'execute sans interface graphique et est pilote par programmation, utilise pour les tests, le scraping et l'automatisation de securite. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Navigateur sans tete ?
Navigateur web qui s'execute sans interface graphique et est pilote par programmation, utilise pour les tests, le scraping et l'automatisation de securite.
Comment fonctionne Navigateur sans tete ?
Un navigateur headless est un vrai moteur de navigateur (Chromium, Firefox, WebKit) qui execute du JavaScript, rend les pages et gere les cookies comme un navigateur de bureau, mais sans fenetre visible. Il est pilote par des APIs comme Chrome DevTools Protocol, WebDriver BiDi ou des bibliotheques telles que Puppeteer et Playwright. Les navigateurs headless servent aux tests end-to-end, aux services de capture, a la generation de PDF et a des taches de securite comme le scan DAST. Ils sont egalement detournes par les attaquants pour le credential stuffing, le scraping de contenu protege et le contournement de la detection de bots, ce qui pousse les defenses a inspecter les empreintes du navigateur et les signaux comportementaux.
Comment se défendre contre Navigateur sans tete ?
Les défenses contre Navigateur sans tete combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Navigateur sans tete ?
Noms alternatifs courants : Chrome headless.
● Termes liés
- appsec№ 880
Securite de Puppeteer
Considerations de securite pour Puppeteer, la bibliotheque Node.js de Google qui pilote Chrome et Chromium via le DevTools Protocol pour l'automatisation et les tests.
- appsec№ 836
Securite de Playwright
Considerations de securite pour Playwright, le framework d'automatisation multi-navigateur de Microsoft qui pilote Chromium, Firefox et WebKit avec des contextes isoles.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- appsec№ 1195
Usurpation d'User-Agent
Falsification de l'en-tete User-Agent ou des Client Hints associes pour qu'une requete semble provenir d'un autre navigateur, appareil ou systeme d'exploitation qu'en realite.
● Voir aussi
- № 942robots.txt