網站綜合安全檢測
對你已驗證所有權的網站進行整體綜合檢測。機密暴露(.env/.git/資料庫匯出)、TLS 憑證、HTTP 安全標頭、CSP 內容與 CORS 設定錯誤、Cookie 屬性、郵件驗證(SPF/DKIM/DMARC)、CAA,並將暴露的產品與本站的 CISA KEV(即實際正在被利用)目錄進行關聯——一份帶綜合評級的報告 + 修復方法 + AI 修復提示詞。
機密檔案的公開暴露
檢查的 24 個機密路徑/目錄均未被公開存取。
TLS 憑證
- 簽發者: Let's Encrypt
- 協定: TLSv1.3
- 加密套件: TLS_AES_128_GCM_SHA256
- 有效期至: Sep 5 07:14:55 2026 GMT
傳輸(HTTPS)
- 可透過 HTTPS 存取。
- http 已重新導向到 HTTPS。
- HSTS 已啟用。
CSP(內容安全政策)強度
- 'unsafe-inline'(允許內嵌 JS=大幅削弱 XSS 防護。請改用 nonce/hash)
CORS(跨來源資源共用)
未發現危險的 CORS 來源反射。
Cookie 安全屬性
所有 Cookie 均帶有 Secure / HttpOnly / SameSite。
版本資訊暴露
未以顯眼的形式暴露伺服器/框架的版本資訊。
給 AI 的改進指令(複製貼上)
貼到 Claude / ChatGPT,它會告訴你針對自己環境的具體修復方法。
你是一名 Web 安全專家。在對我所擁有的網站(itdef.net)的檢測中,發現了以下問題。請以防禦/修復為目的(而非攻擊),針對我的環境(nginx / Apache / Caddy / 雲端等),用具體的命令/設定範例告訴我每一項的安全修復方法。有不清楚的地方請向我提問。也請告訴我修復後的驗證方法。 - 安全標頭: content-security-policy - CSP(內容安全政策)強度: unsafe-inline - 郵件驗證(防偽造): DMARC weak 注意:請注意不要破壞現有的正常功能。無需說明攻擊手法或繞過方式。
對本檢測進行定期監控(免費)
登記電子郵件位址後,本站會定期重新檢測該網站,僅在其安全態勢惡化(新命中 KEV、評級下降、憑證臨近過期)時才通知你。只有在你點擊確認郵件中的連結後才會開始(防垃圾郵件)。可隨時取消訂閱。
使用方法
- 1
輸入你自己網站的網域
例如:example.com。無法檢測他人的網站(因為必須先驗證所有權)。
- 2
驗證所有權(三種方法任選其一)
將螢幕上顯示的專用權杖,透過①meta 標籤(最簡單,只需貼到首頁的 <head>)②DNS TXT 記錄 ③檔案(一鍵下載→放入 /.well-known/)中的任一方式放置。驗證通過前不會開始檢測。
- 3
點擊「驗證所有權並檢測」即自動綜合排查
一次性檢查機密暴露(.env/.git/資料庫匯出)、TLS 憑證、標頭、CSP/CORS、Cookie、郵件驗證、KEV 關聯(在野利用中的 CVE),並顯示 A〜F 的綜合評級。
- 4
依紅→黃的順序修復
每一項都會顯示「為什麼危險」以及修復方法。還會給出可複製貼上的 AI 修復提示詞,貼到 ChatGPT / Claude 即可取得針對你環境的具體步驟。
- 5
(選用)註冊免費的定期監控
登記電子郵件後,僅在安全態勢惡化時才通知。需點擊確認郵件中的連結後才會開始,且可隨時取消訂閱。
為什麼重要
常見問題
Q為什麼需要驗證所有權?
既然要檢查機密檔案是否公開,若對準他人網站就可能淪為攻擊偵察。本工具設計為只有在你透過 DNS TXT 或檔案證明「這是我的網域」後才進行檢測,從結構上杜絕第三方掃描。
Q檢測會給網站帶來負載嗎?
不會。它只對固定的少數路徑各被動抓取一次,不進行窮舉(模糊測試)或攻擊。負載大致相當於用瀏覽器開啟幾個頁面。
Q綜合評級高就完全安全了嗎?
不是。本工具檢查的是具有高訊號價值的代表性項目,並不能涵蓋所有風險。即使是綠色也不要過度自信,請同時堅持最小公開、最小權限原則,以及對相依套件(OSV 掃描器)、標頭、郵件驗證的持續排查。