Web-Check:把 30+ 个网站侦察工具装进一个仪表盘
Web-Check:把 30+ 个网站侦察工具装进一个仪表盘
摘要:lissy93/web-check 是一款开源的"一站式网站 OSINT 仪表盘",把 DNS、SSL、TLS、Whois、HSTS、Tech Stack、Carbon Footprint 等 30+ 项网站侦察与安全审计能力聚合到一个界面里,支持 Netlify 一键部署、Vercel、Docker 和本地源码运行。本文从功能清单、部署方式、可选 API 集成、适用场景四个维度介绍这个 GitHub 34k+ star 的项目。
- 仓库:https://github.com/lissy93/web-check
- 在线演示:https://web-check.xyz
- 镜像(Codeberg):https://codeberg.org/alicia/web-check
- 语言:TypeScript(Node.js ≥ 18.16.1)
- 许可证:MIT
- Star / Fork:34,148 / 2,815
- 最近更新:2026-07-11
一、它解决什么问题
做安全审计、域名调查或网站技术栈分析时,我们通常要在十几个在线工具之间来回切换:
- DNS 查询:去 dig / MXToolbox
- SSL/TLS 检测:去 SSL Labs
- 安全头检查:去 securityheaders.com / Mozilla Observatory
- Whois:去 who.is
- 技术栈识别:去 Wappalyzer / BuiltWith
- WAF 识别:去 Cloudflare Radar
- 阻断检测:用各种 DNS 黑名单逐一比对
- 历史归档:去 Wayback Machine
Web-Check 的目标就是把这些工作合并到一个页面里:输入一个域名,等几十秒,整页报告就出来了。对安全工程师、运维、SRE、OSINT 研究员来说,省下来的不是几分钟,而是"心智切换"的成本。
项目自我定位是 "All-in-one OSINT tool for analysing any website"(一体化网站 OSINT 工具),作者 Alicia Sykes 从 2023 年 6 月开始维护,最近一次提交就在几天前(2026-07-11),活跃度一直在线。
二、核心功能清单(共 30+ 项)
下面按"侦察深度"由浅入深整理,每项都来自 README 原文并附用途说明。
2.1 网络与基础设施层
- IP Info:A 记录解析出的公网 IP。
- Server Location:基于 IP 库的物理位置(经纬度、时区、货币、国旗)。
- Open Ports:暴露的 TCP/UDP 端口。
- Traceroute:到目标的网络路径与每跳延迟。
- Associated Hosts:DNS 枚举出来的关联域名/子域(需要 Shodan API key 时结果更全)。
- Server Info:Web 服务器类型(Apache/Nginx/Caddy)、ASN、托管商。
2.2 DNS 与邮件层
- DNS Records:A / AAAA / MX / NS / CNAME / TXT 全套记录。
- TXT Records:单独抽取,常用来识别 SPF / DMARC / 域名验证。
- DNS Security Extensions:DNSSEC、DoH、DoT 是否启用。
- DNS Server:当前解析器,并做"是否支持 DoH / 是否易受缓存投毒"的初步检查。
- Email Configuration:DMARC、DKIM、SPF、BIMI 完整度评估。
2.3 TLS/SSL 层
- SSL Chain:证书链、颁发者、有效期。
- TLS Cipher Suites:服务器支持的密码套件。
- TLS Security Config:基于 Mozilla Observatory 指南打分。
- TLS Handshake Simulation:模拟不同客户端/操作系统握手表现。
- HSTS:HTTP Strict Transport Security 状态。
2.4 应用层
- Headers:HTTP 响应头全集。
- HTTP Security Features:HSTS / CSP / X-Content-Type-Options / X-Frame-Options 等安全头是否齐备。
- Cookies:Set-Cookie 字段逐项解析(属性、SameSite、Secure 等)。
- Crawl Rules:robots.txt 内容。
- Listed Pages:sitemap.xml 解析。
- Linked Pages:站内 / 站外链接全量枚举。
- Social Tags:Open Graph、Twitter Cards、Schema.org 元数据。
- Site Features:站点能力探活(Service Worker、WebRTC、Geolocation API 等)。
- Quality Metrics:基于 Lighthouse 的性能 / 可访问性 / SEO / 最佳实践打分(需要 Google Cloud API key)。
- Tech Stack:用 Wappalyzer 指纹库识别建站技术。
- Firewall Detection:WAF 厂商识别(Cloudflare / Akamai / AWS WAF 等)。
- Screenshot:远程截图,不受你本机 IP / 浏览器环境影响。
2.5 情报与历史层
- Whois Lookup / Domain Info:注册人、注册商、创建/到期时间、NameServer。
- Archive History:Wayback Machine 历史快照。
- Global Ranking:基于 Tranco 项目的全球排名(前 100 万站点)。
- Block Detection:用 10+ 个流行 DNS 黑名单(隐私/恶意软件/家长控制)测试是否被拦截。
- Malware & Phishing Detection:URLHaus、PhishTank 等威胁情报源交叉比对。
- Carbon Footprint:估算网站碳排放(基于数据传输量 + 数据中心能耗)。
2.6 元信息
- Server Status:目标是否在线、响应是否正常。
注意:README 里有一条注释明确说"this list needs updating, many more jobs have been added since..."——实际功能数还在增长。
三、四种部署方式
Web-Check 的部署门槛非常低,作者给了一键按钮 + 容器 + 源码三种路径,覆盖了从"我想立刻试一下"到"我需要长期自托管"的全部场景。
3.1 Netlify 一键部署
仓库 README 顶部直接放了 Deploy to Netlify 按钮,点一下就 fork-and-deploy 到你的 Netlify 账号。最省事的方式。
3.2 Vercel 一键部署
同样的零配置体验,Vercel 控制台会拉起一个克隆项目,预填好演示 URL。
3.3 Docker
docker run -p 3000:3000 lissy93/web-check
镜像来源:
- DockerHub:
lissy93/web-check - GHCR:
ghcr.io/lissy93/web-check - 也可自行
docker build -t web-check .构建
3.4 从源码构建
git clone https://github.com/Lissy93/web-check.git
cd web-check
yarn install
yarn build
yarn serve # 同时启动 API + GUI
开发模式:yarn dev。需要 Node.js ≥ 18.16.1 + yarn + git。某些功能(traceroute、screenshot)额外需要系统安装 chromium、traceroute、dns;未安装时对应任务会自动跳过,不会让整个项目崩。
四、配置:默认即用,可选增强
Web-Check 的一大优点是零配置开箱即用。如果你只用基础功能(DNS、SSL、Headers、Whois、Robots、Sitemap 等),根本不需要任何 API key。
如果你想解锁更深度能力,可以选择性加这些 key(环境变量形式):
| 变量 | 作用 |
|---|---|
GOOGLE_CLOUD_API_KEY | 启用 Lighthouse 质量评分 |
REACT_APP_SHODAN_API_KEY | 显示更完整的关联主机 |
REACT_APP_WHO_API_KEY | 更详细的 Whois 记录 |
SECURITY_TRAILS_API_KEY | IP 关联的组织信息 |
CLOUDMERSIVE_API_KEY | 已知威胁库查询 |
TRANCO_USERNAME / TRANCO_API_KEY | 全球排名 |
URL_SCAN_API_KEY | URLScan 杂项信息 |
BUILT_WITH_API_KEY | 主站点能力识别 |
TORRENT_IP_API_KEY | IP 历史下载记录(慎用) |
行为开关:
| 变量 | 含义 |
|---|---|
PORT | API 端口(默认 3000) |
API_ENABLE_RATE_LIMIT | 是否对 /api 限流 |
PUBLIC_API_TIMEOUT_LIMIT | 单次 API 超时(毫秒) |
API_CORS_ORIGIN | CORS 白名单域名 |
CHROME_PATH | Chromium 可执行路径 |
DISABLE_GUI | 只跑 API、不要前端 |
REACT_APP_API_ENDPOINT | 前端调用的 API 端点 |
可以通过 .env 文件、Netlify/Vercel UI、docker run --env 任意方式注入。作者特别提醒:带 REACT_APP_ 前缀的 key 是客户端可见的,注入时务必按最小权限原则(参考 React 文档)。
五、典型使用场景
5.1 自家网站上线前的安全自检
对刚上线的域名跑一次 Web-Check,重点看:
- HTTP Security Features:HSTS / CSP / X-Frame-Options 缺失
- TLS Security Config:是否还在用 TLS 1.0/1.1
- Email Configuration:DMARC 没配的话邮件容易被钓鱼
- Server Info:暴露的服务器版本号可考虑隐藏
- Carbon Footprint:优化方向参考
5.2 客户/供应商的尽职调查
接到一个新供应商/客户时,把对方域名丢进去,几分钟拿到一个相对完整的"网络画像":谁在托管、用什么技术栈、是否启用 DNSSEC、是否有 security.txt(CVE 报告通道)、是否在威胁情报黑名单里。
5.3 钓鱼/诈骗链接初判
收到一个陌生链接时,先丢到 Web-Check 看:
- Block Detection:是否已被多家 DNS 黑名单拦截
- Malware & Phishing Detection:URLHaus / PhishTank 是否有记录
- Archive History:是不是个老域名(很多老域名被用作钓鱼跳板)
- Whois:注册时间几天内的要警惕
5.4 安全工程师 / 蓝队的快速侦察
红队/蓝队做 Recon 时,Web-Check 比手工组合一堆在线工具快一个数量级,而且支持 Docker 自托管——被侦察对象的数据完全留在你的内网。
5.5 OSINT 调查与教学
README 里的 "Useful Links" 区块已经贴心地把每个功能相关的 RFC、Mozilla 文档、OWASP CheatSheet 都列出来了。Web-Check 因此也是一个非常好的OSINT 教学平台——边用边学。
六、与同类工具的差异
- vs. Wappalyzer / BuiltWith:只覆盖技术栈识别,Web-Check 把它当一个子任务。
- vs. Mozilla Observatory:更聚焦安全头,Web-Check 把 30+ 个维度都做了。
- vs. SpiderFoot / theHarvester:都是 OSINT 工具,但前者是 CLI 重武器、后者偏邮箱枚举;Web-Check 是轻量 Web UI,重点是"网站本身"。
- vs. nmap / nikto / testssl.sh:经典 CLI 工具栈,Web-Check 不替代它们,但提供了友好界面让非安全背景的人也能用。
一句话总结:如果你只想"打开浏览器、输个域名、看完报告",Web-Check 是目前最顺手的选择。
七、注意事项
- 合规使用:Web-Check 调用的所有数据都是公开信息,但请遵守所在司法辖区的法律法规和目标站点的 robots.txt / ToS,不要用于未授权的渗透测试。
- 公网部署风险:默认部署任何人都能查询,如果你部署在公网,建议开启
API_ENABLE_RATE_LIMIT并通过API_CORS_ORIGIN限定自己的域名。 - API key 暴露:注意
REACT_APP_前缀的 key 会暴露给前端,生产环境请使用最小权限。 - 依赖外部 API 时长:开启所有可选 API 后,单次扫描可能需要 20-30 秒(
PUBLIC_API_TIMEOUT_LIMIT默认 25000ms)。 - 作者求赞助:README 末尾提到托管实例每月 Lambda 费用约 \$25。如果你重度使用官方演示版,欢迎通过 https://github.com/sponsors/Lissy93 支持作者。
八、总结
Web-Check 不是"一个炫技的项目",它把日常网站侦察里最常用的 30+ 维度整合到一个干净的开源界面里,并且把"开箱即用"做到了极致——不需要任何 API key 就能跑起来,需要更深度数据时再按需注入。MIT 许可证、TypeScript 源码、Docker 镜像、Netlify/Vercel 一键部署,对个人开发者和企业安全团队都很友好。
如果你正在做:
- 自家网站的合规自检
- 供应商/客户的技术尽调
- 蓝队 Recon 流程自动化
- OSINT 入门学习
都建议把它加入工具箱,3 分钟内就能跑起来。
仓库地址:https://github.com/lissy93/web-check




