網站綜合安全檢測
對你已驗證所有權的網站進行整體綜合檢測。機密暴露(.env/.git/資料庫匯出)、TLS 憑證、HTTP 安全標頭、CSP 內容與 CORS 設定錯誤、Cookie 屬性、郵件驗證(SPF/DKIM/DMARC)、CAA,並將暴露的產品與本站的 CISA KEV(即實際正在被利用)目錄進行關聯——一份帶綜合評級的報告 + 修復方法 + AI 修復提示詞。
使用方法
- 1
輸入你自己網站的網域
例如:example.com。無法檢測他人的網站(因為必須先驗證所有權)。
- 2
驗證所有權(三種方法任選其一)
將螢幕上顯示的專用權杖,透過①meta 標籤(最簡單,只需貼到首頁的 <head>)②DNS TXT 記錄 ③檔案(一鍵下載→放入 /.well-known/)中的任一方式放置。驗證通過前不會開始檢測。
- 3
點擊「驗證所有權並檢測」即自動綜合排查
一次性檢查機密暴露(.env/.git/資料庫匯出)、TLS 憑證、標頭、CSP/CORS、Cookie、郵件驗證、KEV 關聯(在野利用中的 CVE),並顯示 A〜F 的綜合評級。
- 4
依紅→黃的順序修復
每一項都會顯示「為什麼危險」以及修復方法。還會給出可複製貼上的 AI 修復提示詞,貼到 ChatGPT / Claude 即可取得針對你環境的具體步驟。
- 5
(選用)註冊免費的定期監控
登記電子郵件後,僅在安全態勢惡化時才通知。需點擊確認郵件中的連結後才會開始,且可隨時取消訂閱。
為什麼重要
常見問題
Q為什麼需要驗證所有權?
既然要檢查機密檔案是否公開,若對準他人網站就可能淪為攻擊偵察。本工具設計為只有在你透過 DNS TXT 或檔案證明「這是我的網域」後才進行檢測,從結構上杜絕第三方掃描。
Q檢測會給網站帶來負載嗎?
不會。它只對固定的少數路徑各被動抓取一次,不進行窮舉(模糊測試)或攻擊。負載大致相當於用瀏覽器開啟幾個頁面。
Q綜合評級高就完全安全了嗎?
不是。本工具檢查的是具有高訊號價值的代表性項目,並不能涵蓋所有風險。即使是綠色也不要過度自信,請同時堅持最小公開、最小權限原則,以及對相依套件(OSV 掃描器)、標頭、郵件驗證的持續排查。