免费工具
一套免费工具,用于检查依赖(OSV)、CVE、安全响应头、CSP、JWT 以及 SPF/DKIM/DMARC。诊断类工具还会生成 AI 修复提示词。客户端工具绝不会上传你的输入。
🔒 纯客户端工具不会上传你的输入。服务器型诊断工具会在各自的工具页面明确说明数据的处理方式。
网站综合安全检测
对你已验证所有权的网站进行整体检测:机密泄露(.env/.git/数据库导出)、TLS 证书、响应头、CSP 配置缺陷、CORS 配置错误、Cookie 属性以及邮件认证,并将暴露的产品与本站的 CISA KEV(正被实际利用)目录相关联。提供综合评级、修复方法、AI 修复提示词,以及免费的持续监控。
- 机密泄露 .env/.git
- TLS 证书
- CSP 与 CORS
- Cookie 属性
- 邮件认证
- KEV 关联(利用中)
- 综合评级
- 持续监控
服务器型诊断
检测你自己的站点 / 域名(部分需要所有权验证)
网站透明度检查器
输入 URL,可视化该页面可能通信的外部目标、跟踪器和外部表单,帮助判断它是否真的在浏览器内完成处理。
CVE / KEV 查询
输入 CVE 编号,在一个界面查看 CVSS、EPSS(被利用概率)、KEV(是否正被实际利用)及应对措施。数据来自本站自有的漏洞情报库与 NVD。
安全响应头检测
输入你网站的 URL,对 CSP、HSTS、X-Frame-Options 等 HTTP 安全响应头进行评分,并给出修复方法、可直接复制的加固配置以及 AI 修复提示词。
SPF / DKIM / DMARC 检查器
输入域名,检查用于防范伪造邮件的 SPF / DKIM / DMARC DNS 记录,并指出缺口、修复方法以及 AI 修复提示词。
纯浏览器工具
你的输入不会离开浏览器(不上传)
CSP 构建器 / 检查器
粘贴 Content-Security-Policy,检测其中危险的指令(如 unsafe-inline 等),并构建更严格的策略。
JWT 解码器 / 检查
粘贴 JWT,解码其头部与载荷,并检查 alg:none 或令牌过期等风险。
密钥泄露检测
粘贴代码或配置,检测其中硬编码的 API 密钥、令牌和私钥。
密码强度 / 生成器
测量密码强度(熵值、预计破解时间),并生成高强度密码。
依赖包漏洞扫描器
粘贴 package.json 或 lockfile,通过 OSV.dev 比对其中各依赖库的已知漏洞(CVE),并给出修复版本与 AI 修复提示词。全程在浏览器内完成。