网站综合安全检测
对你已验证所有权的网站进行整体综合检测。机密暴露(.env/.git/数据库导出)、TLS 证书、HTTP 安全响应头、CSP 内容与 CORS 配置错误、Cookie 属性、邮件认证(SPF/DKIM/DMARC)、CAA,并将暴露的产品与本站的 CISA KEV(即实际正在被利用)目录进行关联——一份带综合评级的报告 + 修复方法 + AI 修复提示词。
机密文件的公开暴露
检查的 24 个机密路径/目录均未被公开访问。
TLS 证书
- 颁发者: Let's Encrypt
- 协议: TLSv1.3
- 加密套件: TLS_AES_128_GCM_SHA256
- 有效期至: Sep 5 07:14:55 2026 GMT
传输(HTTPS)
- 可通过 HTTPS 访问。
- http 已重定向到 HTTPS。
- HSTS 已启用。
CSP(内容安全策略)强度
- 'unsafe-inline'(允许内联 JS=大幅削弱 XSS 防护。请改用 nonce/hash)
CORS(跨源资源共享)
未发现危险的 CORS 来源反射。
Cookie 安全属性
所有 Cookie 均带有 Secure / HttpOnly / SameSite。
版本信息暴露
未以显眼的形式暴露服务器/框架的版本信息。
给 AI 的改进指令(复制粘贴)
贴到 Claude / ChatGPT,它会告诉你针对自己环境的具体修复方法。
你是一名 Web 安全专家。在对我所拥有的网站(itdef.net)的检测中,发现了以下问题。请以防御/修复为目的(而非攻击),针对我的环境(nginx / Apache / Caddy / 云等),用具体的命令/配置示例告诉我每一项的安全修复方法。有不清楚的地方请向我提问。也请告诉我修复后的验证方法。 - 安全响应头: content-security-policy - CSP(内容安全策略)强度: unsafe-inline - 邮件认证(防伪造): DMARC weak 注意:请注意不要破坏现有的正常功能。无需说明攻击手法或绕过方式。
对本检测进行定期监控(免费)
登记邮箱地址后,本站会定期重新检测该网站,仅在其安全态势恶化(新命中 KEV、评级下降、证书临近过期)时才通知你。只有在你点击确认邮件中的链接后才会开始(防垃圾邮件)。可随时取消订阅。
使用方法
- 1
输入你自己网站的域名
例如:example.com。无法检测他人的网站(因为必须先验证所有权)。
- 2
验证所有权(三种方法任选其一)
将屏幕上显示的专用令牌,通过①meta 标签(最简单,只需贴到首页的 <head>)②DNS TXT 记录 ③文件(一键下载→放入 /.well-known/)中的任一方式放置。验证通过前不会开始检测。
- 3
点击「验证所有权并检测」即自动综合排查
一次性检查机密暴露(.env/.git/数据库导出)、TLS 证书、响应头、CSP/CORS、Cookie、邮件认证、KEV 关联(在野利用中的 CVE),并显示 A〜F 的综合评级。
- 4
按红→黄的顺序修复
每一项都会显示「为什么危险」以及修复方法。还会给出可复制粘贴的 AI 修复提示词,贴到 ChatGPT / Claude 即可获得针对你环境的具体步骤。
- 5
(可选)注册免费的定期监控
登记邮箱后,仅在安全态势恶化时才通知。需点击确认邮件中的链接后才会开始,且可随时取消订阅。
为什么重要
常见问题
Q为什么需要验证所有权?
既然要检查机密文件是否公开,若对准他人网站就可能沦为攻击侦察。本工具设计为只有在你通过 DNS TXT 或文件证明「这是我的域名」后才进行检测,从结构上杜绝第三方扫描。
Q检测会给网站带来负载吗?
不会。它只对固定的少数路径各被动抓取一次,不进行穷举(模糊测试)或攻击。负载大致相当于用浏览器打开几个页面。
Q综合评级高就完全安全了吗?
不是。本工具检查的是具有高信号价值的代表性项目,并不能覆盖所有风险。即使是绿色也不要过度自信,请同时坚持最小公开、最小权限原则,以及对依赖(OSV 扫描器)、响应头、邮件认证的持续排查。