Web-Check:把 30+ 个网站侦察工具装进一个仪表盘

Web-Check:把 30+ 个网站侦察工具装进一个仪表盘

摘要:lissy93/web-check 是一款开源的"一站式网站 OSINT 仪表盘",把 DNS、SSL、TLS、Whois、HSTS、Tech Stack、Carbon Footprint 等 30+ 项网站侦察与安全审计能力聚合到一个界面里,支持 Netlify 一键部署、Vercel、Docker 和本地源码运行。本文从功能清单、部署方式、可选 API 集成、适用场景四个维度介绍这个 GitHub 34k+ star 的项目。


一、它解决什么问题

做安全审计、域名调查或网站技术栈分析时,我们通常要在十几个在线工具之间来回切换:

  • DNS 查询:去 dig / MXToolbox
  • SSL/TLS 检测:去 SSL Labs
  • 安全头检查:去 securityheaders.com / Mozilla Observatory
  • Whois:去 who.is
  • 技术栈识别:去 Wappalyzer / BuiltWith
  • WAF 识别:去 Cloudflare Radar
  • 阻断检测:用各种 DNS 黑名单逐一比对
  • 历史归档:去 Wayback Machine

Web-Check 的目标就是把这些工作合并到一个页面里:输入一个域名,等几十秒,整页报告就出来了。对安全工程师、运维、SRE、OSINT 研究员来说,省下来的不是几分钟,而是"心智切换"的成本。

项目自我定位是 "All-in-one OSINT tool for analysing any website"(一体化网站 OSINT 工具),作者 Alicia Sykes 从 2023 年 6 月开始维护,最近一次提交就在几天前(2026-07-11),活跃度一直在线。


二、核心功能清单(共 30+ 项)

下面按"侦察深度"由浅入深整理,每项都来自 README 原文并附用途说明。

2.1 网络与基础设施层

  • IP Info:A 记录解析出的公网 IP。
  • Server Location:基于 IP 库的物理位置(经纬度、时区、货币、国旗)。
  • Open Ports:暴露的 TCP/UDP 端口。
  • Traceroute:到目标的网络路径与每跳延迟。
  • Associated Hosts:DNS 枚举出来的关联域名/子域(需要 Shodan API key 时结果更全)。
  • Server Info:Web 服务器类型(Apache/Nginx/Caddy)、ASN、托管商。

2.2 DNS 与邮件层

  • DNS Records:A / AAAA / MX / NS / CNAME / TXT 全套记录。
  • TXT Records:单独抽取,常用来识别 SPF / DMARC / 域名验证。
  • DNS Security Extensions:DNSSEC、DoH、DoT 是否启用。
  • DNS Server:当前解析器,并做"是否支持 DoH / 是否易受缓存投毒"的初步检查。
  • Email Configuration:DMARC、DKIM、SPF、BIMI 完整度评估。

2.3 TLS/SSL 层

  • SSL Chain:证书链、颁发者、有效期。
  • TLS Cipher Suites:服务器支持的密码套件。
  • TLS Security Config:基于 Mozilla Observatory 指南打分。
  • TLS Handshake Simulation:模拟不同客户端/操作系统握手表现。
  • HSTS:HTTP Strict Transport Security 状态。

2.4 应用层

  • Headers:HTTP 响应头全集。
  • HTTP Security Features:HSTS / CSP / X-Content-Type-Options / X-Frame-Options 等安全头是否齐备。
  • Cookies:Set-Cookie 字段逐项解析(属性、SameSite、Secure 等)。
  • Crawl Rules:robots.txt 内容。
  • Listed Pages:sitemap.xml 解析。
  • Linked Pages:站内 / 站外链接全量枚举。
  • Social Tags:Open Graph、Twitter Cards、Schema.org 元数据。
  • Site Features:站点能力探活(Service Worker、WebRTC、Geolocation API 等)。
  • Quality Metrics:基于 Lighthouse 的性能 / 可访问性 / SEO / 最佳实践打分(需要 Google Cloud API key)。
  • Tech Stack:用 Wappalyzer 指纹库识别建站技术。
  • Firewall Detection:WAF 厂商识别(Cloudflare / Akamai / AWS WAF 等)。
  • Screenshot:远程截图,不受你本机 IP / 浏览器环境影响。

2.5 情报与历史层

  • Whois Lookup / Domain Info:注册人、注册商、创建/到期时间、NameServer。
  • Archive History:Wayback Machine 历史快照。
  • Global Ranking:基于 Tranco 项目的全球排名(前 100 万站点)。
  • Block Detection:用 10+ 个流行 DNS 黑名单(隐私/恶意软件/家长控制)测试是否被拦截。
  • Malware & Phishing Detection:URLHaus、PhishTank 等威胁情报源交叉比对。
  • Carbon Footprint:估算网站碳排放(基于数据传输量 + 数据中心能耗)。

2.6 元信息

  • Server Status:目标是否在线、响应是否正常。

注意:README 里有一条注释明确说"this list needs updating, many more jobs have been added since..."——实际功能数还在增长。


三、四种部署方式

Web-Check 的部署门槛非常低,作者给了一键按钮 + 容器 + 源码三种路径,覆盖了从"我想立刻试一下"到"我需要长期自托管"的全部场景。

3.1 Netlify 一键部署

仓库 README 顶部直接放了 Deploy to Netlify 按钮,点一下就 fork-and-deploy 到你的 Netlify 账号。最省事的方式

3.2 Vercel 一键部署

同样的零配置体验,Vercel 控制台会拉起一个克隆项目,预填好演示 URL。

3.3 Docker

docker run -p 3000:3000 lissy93/web-check

镜像来源:

  • DockerHub:lissy93/web-check
  • GHCR:ghcr.io/lissy93/web-check
  • 也可自行 docker build -t web-check . 构建

3.4 从源码构建

git clone https://github.com/Lissy93/web-check.git
cd web-check
yarn install
yarn build
yarn serve   # 同时启动 API + GUI

开发模式:yarn dev。需要 Node.js ≥ 18.16.1 + yarn + git。某些功能(traceroute、screenshot)额外需要系统安装 chromiumtraceroutedns;未安装时对应任务会自动跳过,不会让整个项目崩。


四、配置:默认即用,可选增强

Web-Check 的一大优点是零配置开箱即用。如果你只用基础功能(DNS、SSL、Headers、Whois、Robots、Sitemap 等),根本不需要任何 API key。

如果你想解锁更深度能力,可以选择性加这些 key(环境变量形式):

变量作用
GOOGLE_CLOUD_API_KEY启用 Lighthouse 质量评分
REACT_APP_SHODAN_API_KEY显示更完整的关联主机
REACT_APP_WHO_API_KEY更详细的 Whois 记录
SECURITY_TRAILS_API_KEYIP 关联的组织信息
CLOUDMERSIVE_API_KEY已知威胁库查询
TRANCO_USERNAME / TRANCO_API_KEY全球排名
URL_SCAN_API_KEYURLScan 杂项信息
BUILT_WITH_API_KEY主站点能力识别
TORRENT_IP_API_KEYIP 历史下载记录(慎用)

行为开关:

变量含义
PORTAPI 端口(默认 3000)
API_ENABLE_RATE_LIMIT是否对 /api 限流
PUBLIC_API_TIMEOUT_LIMIT单次 API 超时(毫秒)
API_CORS_ORIGINCORS 白名单域名
CHROME_PATHChromium 可执行路径
DISABLE_GUI只跑 API、不要前端
REACT_APP_API_ENDPOINT前端调用的 API 端点

可以通过 .env 文件、Netlify/Vercel UI、docker run --env 任意方式注入。作者特别提醒:带 REACT_APP_ 前缀的 key 是客户端可见的,注入时务必按最小权限原则(参考 React 文档)。


五、典型使用场景

5.1 自家网站上线前的安全自检

对刚上线的域名跑一次 Web-Check,重点看:

  • HTTP Security Features:HSTS / CSP / X-Frame-Options 缺失
  • TLS Security Config:是否还在用 TLS 1.0/1.1
  • Email Configuration:DMARC 没配的话邮件容易被钓鱼
  • Server Info:暴露的服务器版本号可考虑隐藏
  • Carbon Footprint:优化方向参考

5.2 客户/供应商的尽职调查

接到一个新供应商/客户时,把对方域名丢进去,几分钟拿到一个相对完整的"网络画像":谁在托管、用什么技术栈、是否启用 DNSSEC、是否有 security.txt(CVE 报告通道)、是否在威胁情报黑名单里。

5.3 钓鱼/诈骗链接初判

收到一个陌生链接时,先丢到 Web-Check 看:

  • Block Detection:是否已被多家 DNS 黑名单拦截
  • Malware & Phishing Detection:URLHaus / PhishTank 是否有记录
  • Archive History:是不是个老域名(很多老域名被用作钓鱼跳板)
  • Whois:注册时间几天内的要警惕

5.4 安全工程师 / 蓝队的快速侦察

红队/蓝队做 Recon 时,Web-Check 比手工组合一堆在线工具快一个数量级,而且支持 Docker 自托管——被侦察对象的数据完全留在你的内网

5.5 OSINT 调查与教学

README 里的 "Useful Links" 区块已经贴心地把每个功能相关的 RFC、Mozilla 文档、OWASP CheatSheet 都列出来了。Web-Check 因此也是一个非常好的OSINT 教学平台——边用边学。


六、与同类工具的差异

  • vs. Wappalyzer / BuiltWith:只覆盖技术栈识别,Web-Check 把它当一个子任务。
  • vs. Mozilla Observatory:更聚焦安全头,Web-Check 把 30+ 个维度都做了。
  • vs. SpiderFoot / theHarvester:都是 OSINT 工具,但前者是 CLI 重武器、后者偏邮箱枚举;Web-Check 是轻量 Web UI,重点是"网站本身"。
  • vs. nmap / nikto / testssl.sh:经典 CLI 工具栈,Web-Check 不替代它们,但提供了友好界面让非安全背景的人也能用。

一句话总结:如果你只想"打开浏览器、输个域名、看完报告",Web-Check 是目前最顺手的选择。


七、注意事项

  1. 合规使用:Web-Check 调用的所有数据都是公开信息,但请遵守所在司法辖区的法律法规和目标站点的 robots.txt / ToS,不要用于未授权的渗透测试。
  2. 公网部署风险:默认部署任何人都能查询,如果你部署在公网,建议开启 API_ENABLE_RATE_LIMIT 并通过 API_CORS_ORIGIN 限定自己的域名。
  3. API key 暴露:注意 REACT_APP_ 前缀的 key 会暴露给前端,生产环境请使用最小权限。
  4. 依赖外部 API 时长:开启所有可选 API 后,单次扫描可能需要 20-30 秒(PUBLIC_API_TIMEOUT_LIMIT 默认 25000ms)。
  5. 作者求赞助:README 末尾提到托管实例每月 Lambda 费用约 \$25。如果你重度使用官方演示版,欢迎通过 https://github.com/sponsors/Lissy93 支持作者。

八、总结

Web-Check 不是"一个炫技的项目",它把日常网站侦察里最常用的 30+ 维度整合到一个干净的开源界面里,并且把"开箱即用"做到了极致——不需要任何 API key 就能跑起来,需要更深度数据时再按需注入。MIT 许可证、TypeScript 源码、Docker 镜像、Netlify/Vercel 一键部署,对个人开发者和企业安全团队都很友好。

如果你正在做:

  • 自家网站的合规自检
  • 供应商/客户的技术尽调
  • 蓝队 Recon 流程自动化
  • OSINT 入门学习

都建议把它加入工具箱,3 分钟内就能跑起来。

仓库地址:https://github.com/lissy93/web-check

开源 #安全 #OSINT #WebCheck #GitHub推荐

发表回复

后才能评论