网站综合安全检测
对你已验证所有权的网站进行整体综合检测。机密暴露(.env/.git/数据库导出)、TLS 证书、HTTP 安全响应头、CSP 内容与 CORS 配置错误、Cookie 属性、邮件认证(SPF/DKIM/DMARC)、CAA,并将暴露的产品与本站的 CISA KEV(即实际正在被利用)目录进行关联——一份带综合评级的报告 + 修复方法 + AI 修复提示词。
使用方法
- 1
输入你自己网站的域名
例如:example.com。无法检测他人的网站(因为必须先验证所有权)。
- 2
验证所有权(三种方法任选其一)
将屏幕上显示的专用令牌,通过①meta 标签(最简单,只需贴到首页的 <head>)②DNS TXT 记录 ③文件(一键下载→放入 /.well-known/)中的任一方式放置。验证通过前不会开始检测。
- 3
点击「验证所有权并检测」即自动综合排查
一次性检查机密暴露(.env/.git/数据库导出)、TLS 证书、响应头、CSP/CORS、Cookie、邮件认证、KEV 关联(在野利用中的 CVE),并显示 A〜F 的综合评级。
- 4
按红→黄的顺序修复
每一项都会显示「为什么危险」以及修复方法。还会给出可复制粘贴的 AI 修复提示词,贴到 ChatGPT / Claude 即可获得针对你环境的具体步骤。
- 5
(可选)注册免费的定期监控
登记邮箱后,仅在安全态势恶化时才通知。需点击确认邮件中的链接后才会开始,且可随时取消订阅。
为什么重要
常见问题
Q为什么需要验证所有权?
既然要检查机密文件是否公开,若对准他人网站就可能沦为攻击侦察。本工具设计为只有在你通过 DNS TXT 或文件证明「这是我的域名」后才进行检测,从结构上杜绝第三方扫描。
Q检测会给网站带来负载吗?
不会。它只对固定的少数路径各被动抓取一次,不进行穷举(模糊测试)或攻击。负载大致相当于用浏览器打开几个页面。
Q综合评级高就完全安全了吗?
不是。本工具检查的是具有高信号价值的代表性项目,并不能覆盖所有风险。即使是绿色也不要过度自信,请同时坚持最小公开、最小权限原则,以及对依赖(OSV 扫描器)、响应头、邮件认证的持续排查。