web check
Web Check V1
任意のWebサイトの包括的なオンデマンドオープンソースインテリジェンス
web-check.xyz
親切にサポートされています:
ターミナルのすべてのものの$ home。
ターミナルトローブで次のCLI / TUIツールなどを見つけてください。
ニュースレターで新しいツールの最新情報を入手してください。
特定のWebサイトの内部労働に関する洞察を得る:潜在的な攻撃ベクトルを明らかにし、サーバーアーキテクチャの分析、セキュリティ構成の表示、およびサイトが使用しているテクノロジーを学習します。
現在、ダッシュボードには、IP情報、SSLチェーン、DNSレコード、Cookie、ヘッダー、ドメイン情報、検索クロールルール、ページマップ、サーバー位置、リダイレクト元帳、オープンポート、トレーサーアウト、DNSセキュリティ拡張、サイトパフォーマンス、トラッカー、関連付けホスト名、カーボンフットプリント。すぐに追加するので、お楽しみに!
目的は、ウェブサイトを簡単に理解、最適化、保護するのに役立つことです。
レポ管理とその他:
このリストは更新する必要があります。以来、さらに多くのジョブが追加されています...
次のセクションでは、コア機能の概要を説明し、このデータがあなたが知るのに役立つ理由と、さらに学習するためのさらなるリソースにリンクする理由を簡単に説明します。
IPアドレス(インターネットプロトコルアドレス)は、ネットワーク /インターネットに接続された各デバイスに割り当てられた数値ラベルです。特定のドメインに関連付けられているIPは、ドメインのA(アドレス)レコードのドメイン名システム(DNS)をクエリすることで見つけることができます。
特定のサーバーのIPを見つけることは、追加情報のためにサーバーをプローブできるため、さらなる調査を実施するための最初のステップです。ターゲットのネットワークインフラストラクチャの詳細なマップの作成、サーバーの物理的位置の特定、ホスティングサービスの識別、さらには同じIPアドレスでホストされている他のドメインを発見することを含む。
SSL証明書は、WebサイトまたはサーバーのIDを認証し、安全な暗号化された通信(HTTPS)を有効にし、クライアントとサーバー間の信頼を確立するデジタル証明書です。 WebサイトがHTTPSプロトコルを使用し、Transitでユーザー +サイトデータを暗号化できるようにするには、有効なSSL証明書が必要です。 SSL証明書は、証明書当局(CAS)によって発行されます。これは、証明書所有者の身元と正当性を確認する信頼できる第三者です。
SSL証明書は、Webサイトとの間でデータ送信が安全であるという保証を提供するだけでなく、貴重なOSINTデータも提供します。 SSL証明書からの情報には、発行機関、ドメイン名、その有効期間、および時には組織の詳細が含まれます。これは、ウェブサイトの信ity性を確認したり、セキュリティセットアップを理解したり、関連するサブドメインやその他のサービスを発見したりするのに役立ちます。
このタスクには、特定のドメインに関連付けられたDNSレコードの検索が含まれます。 DNSは、コンピューターが通信するために使用する人間の読み取り可能なドメイン名をIPアドレスに変換するシステムです。 A(アドレス)、MX(メールエクスチェンジ)、NS(名前サーバー)、CNAME(Canonical Name)、およびTXT(テキスト)など、さまざまなタイプのDNSレコードが存在します。
DNSレコードを抽出すると、OSINT調査で豊富な情報を提供できます。たとえば、AおよびAAAAレコードは、ドメインに関連付けられたIPアドレスを開示することができ、サーバーの位置を明らかにする可能性があります。 MXレコードは、ドメインの電子メールプロバイダーに関する手がかりを与えることができます。 TXTレコードは、さまざまな管理目的に使用されることが多く、時には不注意に内部情報を漏らすことがあります。ドメインのDNSセットアップを理解することは、オンラインインフラストラクチャの構築と管理方法を理解するのにも役立ちます。
Cookiesタスクには、ターゲットWebサイトで設定されたHTTP Cookieを調べることが含まれます。 Cookieは、Webサイトを閲覧しながら、Webブラウザーによってユーザーのコンピューターに保存されている小さなデータです。サイトの設定、ユーザーのセッションの状態、追跡情報など、特定のクライアントとWebサイトに固有の控えめな量のデータを保持しています。
Cookieは、Webサイトがユーザーとどのように追跡し、対話するかについての情報を開示できます。たとえば、セッションCookieはユーザーセッションの管理方法を明らかにすることができ、Cookieの追跡は、どのような追跡または分析フレームワークが使用されているかを示唆します。さらに、Cookieポリシーとプラクティスを調べることで、サイトのセキュリティ設定に関する洞察とプライバシー規制へのコンプライアンスを提供できます。
robots.txtは、ドメインのルートで(通常)見つかったファイルであり、ロボット除外プロトコル(rep)を実装するために使用され、クローラーとボットによってどのページを無視するかを示します。検索エンジンのクローラーがサイトのオーバーロードを避けることをお勧めしますが、検索結果からページを排除するために使用しないでください(代わりにNoindexメタタグまたはヘッダーを使用してください)。
調査中にrobots.txtファイルをチェックすることはしばしば役立ちます。これは、サイトの所有者がインデックスを作成したくないディレクトリやページを開示することができるため、潜在的に機密情報が含まれているか、そうでなければ隠されたものの存在を明らかにするためです。リンクされていないディレクトリ。さらに、クロールルールを理解することで、WebサイトのSEO戦略に関する洞察が得られる場合があります。
ヘッダータスクには、リクエスト応答サイクル中にターゲットWebサイトから送信されたHTTPヘッダーの抽出と解釈が含まれます。 HTTPヘッダーは、HTTP応答の開始時に送信されるキー値ペアです。ヘッダーには、キャッシュポリシー、コンテンツタイプ、エンコード、サーバー情報、セキュリティポリシーなど、転送されるデータを処理する方法に関する重要な指示が含まれています。
HTTPヘッダーを分析すると、OSINT調査に重要な洞察を提供できます。ヘッダーは、特定のサーバー構成、選択されたテクノロジー、キャッシュ指令、およびさまざまなセキュリティ設定を明らかにすることができます。この情報は、ウェブサイトの基礎となるテクノロジースタック、サーバー側のセキュリティ対策、潜在的な脆弱性、および一般的な運用慣行を決定するのに役立ちます。
Lighthouseを使用して、品質メトリックタスクは、ターゲットWebサイトのパフォーマンス、アクセシビリティ、ベストプラクティス、およびSEOを測定します。これにより、特定のサイトの全体的な品質を評価するために、各カテゴリのスコアとともに、100のコアメトリックのシンプルなチェックリストが返されます。
サイトの技術的健康、SEOの問題を評価し、脆弱性を特定し、基準の順守を確保するのに役立ちます。
サーバーの位置タスクは、IPアドレスに基づいて特定のWebサイトをホストするサーバーの物理的な場所を決定します。これは、IPを既知のデータセンターとISPのLAT + LONGにマッピングする場所データベースでIPを調べることによって行われます。緯度と経度から、住所、フラグ、タイムゾーン、通貨などとともに、マップ上のピンなど、追加のコンテキスト情報を表示することが可能です。
サーバーの場所を知ることは、ウェブサイトをよりよく理解するための良い最初のステップです。サイト所有者にとって、これはコンテンツ配信の最適化、データレジデンシー要件のコンプライアンスの確保、特定の地理的地域のユーザーエクスペリエンスに影響を与える可能性のある潜在的な遅延の問題を特定するのに役立ちます。セキュリティ研究者の場合、サイバーの脅威と規制に関する特定の地域または管轄区域によってもたらされるリスクを評価します。
このタスクには、Webサイトの主要なドメインに関連付けられているすべてのドメインとサブドメイン(ホスト名)を識別およびリストすることが含まれます。このプロセスでは、多くの場合、DNS列挙がリンクされたドメインとホスト名を発見し、既知のDNSレコードを調べます。
調査中、ターゲットのWebプレゼンスの完全な範囲を理解することが重要です。関連するドメインは、関連するプロジェクト、バックアップサイト、開発/テストサイト、またはメインサイトにリンクされているサービスの発見につながる可能性があります。これらは、追加情報や潜在的なセキュリティの脆弱性を提供する場合があります。関連するドメインとホスト名の包括的なリストは、組織の構造とオンラインフットプリントの概要を説明することもできます。
このタスクは、元のURLから最終的な宛先URLに発生するHTTPリダイレクトのシーケンスを追跡します。 HTTP Redirectは、クライアントに別のURLに移動するようにアドバイスするステータスコードを備えた応答です。 Redirectsは、URL正規化(サイトのWWWバージョンに向けて)、HTTPS、URLショートナー、または新しいサイトの場所にユーザーを転送するなど、いくつかの理由で発生する可能性があります。
リダイレクトチェーンを理解することは、いくつかの理由で役立ちます。セキュリティの観点から、長いまたは複雑なリダイレクトチェーンは、チェーン内の暗号化されていないリダイレクトなど、潜在的なセキュリティリスクの兆候になります。さらに、リダイレクトは、各リダイレクトが追加の往復時間(RTT)を導入するため、ウェブサイトのパフォーマンスとSEOに影響を与える可能性があります。 OSINTの場合、リダイレクトチェーンを理解することは、異なるドメイン間の関係を特定したり、特定のテクノロジーまたはホスティングプロバイダーの使用を明らかにしたりするのに役立ちます。
TXTレコードは、ドメイン外のソースにテキスト情報を提供するDNSレコードの一種です。ドメインの所有権の確認、電子メールセキュリティの確保、さらにはWebサイトへの不正な変更を防ぐなど、さまざまな目的に使用できます。
TXTレコードは、特定のドメインで使用されている外部サービスとテクノロジーがしばしば明らかにします。ドメインの電子メール構成、Google WorkspaceやMicrosoft 365などの特定のサービスの使用、またはSPFやDKIMなどのセキュリティ対策に関する詳細が明らかになる場合があります。これらの詳細を理解することは、組織が使用するテクノロジー、その電子メールセキュリティ慣行、および潜在的な脆弱性についての洞察を与えることができます。
サーバーがオンラインで、リクエストに応答しているかどうかを確認します。
サーバー上のオープンポートは、クライアントとの接続を確立するために利用できる通信エンドポイントです。各ポートは、HTTP(ポート80)、HTTPS(ポート443)、FTP(ポート21)などの特定のサービスまたはプロトコルに対応します。サーバー上のオープンポートは、ポートスキャンなどの手法を使用して決定できます。
サーバーでどのポートが開いているかを知ることは、そのサーバーで実行されているサービスに関する情報を提供し、システムの潜在的な脆弱性を理解したり、サーバーが提供しているサービスの性質を理解するのに役立ちます。
Tracerouteは、あるシステムから別のシステムへの情報パケットによって採用された経路をリアルタイムで追跡するために使用されるネットワーク診断ツールです。ルートに沿って各ホップを記録し、各ポイントでのルーターのIPと遅延に関する詳細を提供します。
OSINTの調査では、Tracerouteは、Webサイトまたはサービスをサポートするネットワークインフラストラクチャのルーティングパスと地理に関する洞察を提供できます。これは、ネットワークのボトルネック、潜在的な検閲またはネットワークトラフィックの操作を特定し、ネットワークの構造と効率の全体的な感覚を与えるのに役立ちます。さらに、Traceroute中に収集されたIPアドレスは、さらなるOSINT調査のために追加の問い合わせポイントを提供する場合があります。
このタスクは、Webサイトの推定カーボンフットプリントを計算します。これは、転送および処理されるデータの量、およびWebサイトをホストおよび配信するサーバーのエネルギー使用量に基づいています。ウェブサイトが大きく、機能が大きいほど、二酸化炭素排出量が高くなる可能性が高くなります。
OSINTの観点から見ると、Webサイトの二酸化炭素排出量を理解することは、内部の仕組みやその背後にある組織に関する洞察を直接提供するものではありません。ただし、特に環境への影響が考慮されるコンテキストでは、より広範な分析では依然として貴重なデータである可能性があります。たとえば、デジタルインフラストラクチャの持続可能性に興味があり、環境への影響について組織に責任を負わせたい活動家、研究者、または倫理的なハッカーにとって有用です。
このタスクは、ターゲットWebサイトをホストするサーバーに関するさまざまな情報を取得します。これには、サーバータイプ(例:Apache、Nginx)、ホスティングプロバイダー、自律システム番号(ASN)などが含まれます。情報は通常、IPアドレスの検索とHTTP応答ヘッダーの分析の組み合わせによって取得されます。
OSINTコンテキストでは、サーバー情報は、Webサイトの背後にある組織に関する貴重な手がかりを提供できます。たとえば、ホスティングプロバイダーの選択は、組織が動作する地理的領域を提案する可能性がありますが、サーバータイプは組織が使用するテクノロジーを示唆することができます。 ASNは、同じ組織によってホストされている他のドメインを見つけるためにも使用できます。
このタスクは、ターゲットドメインのWHOISレコードを取得します。 WHOISレコードは、ドメイン登録者の名前と連絡先情報、ドメインの作成日と有効期限、ドメインの名前サーバーなどを含む、豊富な情報源です。情報は通常、WHOISデータベースサーバーへのクエリを通じて取得されます。
OSINTのコンテキストでは、WHOISレコードは、Webサイトの背後にあるエンティティに関する貴重な手がかりを提供できます。ドメインが最初に登録されたときと、それが期限切れになるように設定されたときに示すことができます。これにより、エンティティの運用スケジュールに関する洞察が得られます。連絡先情報は、しばしば編集または匿名化されていますが、調査の追加方法につながる場合があります。名前サーバーを使用して、同じエンティティが所有する複数のドメインをリンクすることもできます。
このタスクは、ターゲットドメインのWHOISレコードを取得します。 WHOISレコードは、ドメイン登録者の名前と連絡先情報、ドメインの作成日と有効期限、ドメインの名前サーバーなどを含む、豊富な情報源です。情報は通常、WHOISデータベースサーバーへのクエリを通じて取得されます。
OSINTのコンテキストでは、WHOISレコードは、Webサイトの背後にあるエンティティに関する貴重な手がかりを提供できます。ドメインが最初に登録されたときと、それが期限切れになるように設定されたときに示すことができます。これにより、エンティティの運用スケジュールに関する洞察が得られます。連絡先情報は、しばしば編集または匿名化されていますが、調査の追加方法につながる場合があります。名前サーバーを使用して、同じエンティティが所有する複数のドメインをリンクすることもできます。
DNSSECがなければ、MITM攻撃者がレコードを広げ、ユーザーをフィッシングサイトに導くことができます。これは、DNSシステムには、リクエストへの応答が偽造されていないことを確認するための組み込みメソッドが含まれていないため、またはプロセスの他の部分が攻撃者によって中断されなかったためです。 DNSセキュリティ拡張機能(DNSSEC)は、パブリックキーを使用してDNSレコードに署名することによりDNSルックアップを保護するため、ブラウザは応答が改ざんされているかどうかを検出できます。この問題のもう1つの解決策は、DOH(HTTPSを超えるDNS)とDOT(TLDを超えるDNS)です。
DNSSEC情報は、特にDNSスプーフィングとキャッシュ中毒に関する組織のサイバーセキュリティの成熟度と潜在的な脆弱性のレベルに関する洞察を提供します。 DNSの証券(DNSSEC、DOH、DOTなど)が実装されていない場合、これは攻撃者のエントリポイントを提供する場合があります。
サイトにどのコア機能が存在するかを確認します。死んでいるとマークされている機能が、ロード時に積極的に使用されていないことを意味します
これは、サイトが何ができるか、どのテクノロジーを探すことができるかを理解するのに役立ちます
HTTP Strict Transport Security(HSTS)は、プロトコルダウングレード攻撃やCookieハイジャックからWebサイトを保護するのに役立つWebセキュリティポリシーメカニズムです。 Webサイトは、一連の要件に準拠し、リストに提出することにより、HSTSプリロードリストに含めることができます。
サイトがHSTSを有効にすることが重要である理由はいくつかあります。1。ユーザーブックマークまたは手動でhttp://example.comを入力し、Man-the-Middle攻撃者のHSTSの対象となります。ターゲットドメイン2。純粋にhttpsになることを目的としたWebアプリケーションは、HTTPリンクを不注意に含めるか、HTTP HSTSを介してコンテンツを提供します。HTTPリクエストはターゲットドメイン3のHTTPSに自動的にリダイレクトします。無効な証明書を使用している被害者ユーザーと、ユーザーが悪い証明書を受け入れることを望んでいるHSTSが、ユーザーが無効な証明書メッセージをオーバーライドすることを許可しない
このチェックは、要求されたURL / IPが解決するDNSサーバーを決定します。また、DNSサーバーがDOHをサポートしているかどうかを確認するために、初歩的なチェックを発射し、DNSキャッシュ中毒に対して脆弱な天気になります。
サイトが構築されているテクノロジーをチェックします。これは、サイトを取得して解析することによって行われ、Wappalyzerが維持したRegexのビットリストと比較して、さまざまなテクノロジーが残すユニークな指紋を識別します。
WebサイトのTech Stackの特定は、潜在的な脆弱性を暴露することにより、セキュリティの評価に役立ち、競争力のある分析と開発の決定に情報を提供し、カスタマイズされたマーケティング戦略を導くことができます。この知識の倫理的適用は、データの盗難や不正な侵入などの有害な活動を避けるために重要です。
このジョブは、サイトのリストされているサイトマップを見つけて解析します。このファイルには、サイトのパブリックサブページがリストされており、著者は検索エンジンによってrawいcrawしたいと考えています。 SiteMapsはSEOに役立ちますが、すべてのサイトのパブリックコンテンツを一目で確認するのにも役立ちます。
サイトの公開コンテンツの構造を理解し、サイト所有者の場合、サイトのサイトマップがアクセス可能で、普通に、希望するものすべてが含まれていることを確認してください。
Security.txtファイルは、研究者にサイトにあるセキュリティの問題を責任を持って開示する方法を伝えます。この標準はRFC 9116で提案されており、このファイルには、セキュリティ開示ポリシーへのリンク、PGPキー、紹介言語、ポリシーの有効期限など、オプションの連絡先(電子メールアドレス)、およびオプションの他の情報を含める必要があることを指定します。 。ファイルは、 /security.txtまたは/.well-nking/security.txtで、ドメインのルートに配置する必要があります。
これは重要です。定義された連絡先がなければ、セキュリティ研究者は重要なセキュリティの問題を報告できない場合や、安全でない場合やパブリックチャネルを使用してそうすることができます。 OSINTの観点からは、セキュリティに関する姿勢、CSAFプロバイダー、PGP公開キーからのメタデータなど、サイトに関する情報を収集することもできます。
アンカー要素に添付されているHREF属性によって識別された、サイトにあるすべての内部および外部リンクを表示します。
サイトの所有者にとって、これはSEOの問題の診断、サイト構造の改善、コンテンツが相互接続されている方法を理解するのに役立ちます。外部リンクは、パートナーシップ、依存関係、および潜在的な評判のリスクを示すことができます。セキュリティの観点から、アウトバウンドリンクは、Webサイトが知らないうちにリンクしている潜在的な悪意のあるまたは侵害されたサイトを特定するのに役立ちます。内部リンクの分析は、サイトの構造を理解し、公開されていない隠されたページまたは脆弱なページを潜在的に明らかにするのに役立ちます。また、OSINTの調査員にとって、ターゲットの包括的な理解を構築し、サイトの関連するエンティティ、リソース、さらには潜在的な隠された部分を発見するのに役立ちます。
Webサイトには、検索エンジンやソーシャルメディアプラットフォームにどのような情報を表示するかを伝える特定のメタタグを含めることができます。これには通常、タイトル、説明、サムネイル、キーワード、著者、ソーシャルアカウントなどが含まれます。
このデータをサイトに追加するとSEOが増加し、OSINTの研究者として、特定のWebアプリがどのように記述しているかを理解することは有用です
DMARC(ドメインベースのメッセージ認証、レポート、適合):DMARCは、SPFおよびDKIMで動作して電子メールのスプーフィングとフィッシングを防ぐ電子メール認証プロトコルです。ドメインの所有者は、DNSで公開されているポリシーを介して認証されていないメールを処理する方法を指定することができ、メールサーバーを受信して電子メールのコンプライアンスに関するフィードバックを送信者に送信する方法を提供します。 BIMI(メッセージ識別のためのブランドインジケーター):BIMIは、組織が顧客の電子メールクライアントにロゴを自動的に表示できるようにする新しい電子メール標準です。 BimiはロゴをドメインのDMARCレコードに結び付け、電子メールが合法であることを受信者に別のレベルの視覚的保証を提供します。 dkim(domainkeys識別されたメール):dkimは、送信サーバーと受信者サーバー間の輸送でメッセージが変更されないように設計された電子メールセキュリティ基準です。送信者のドメインにリンクされたデジタル署名を使用して、送信者を確認し、メッセージの整合性を確保します。 SPF(送信者ポリシーフレームワーク):SPFは、電子メールのスプーフィングを防ぐために設計された電子メール認証方法です。 DNSレコードを作成して、ドメインに代わって電子メールを送信することを許可されているメールサーバーを指定します。これは、ドメインからの受信メールがそのドメインの管理者によって認可されたホストからのものであることを確認するためのメールサーバーを受信する方法を提供することにより、スパムから保護するのに役立ちます。
この情報は、ドメインの電子メールセキュリティ姿勢を評価し、潜在的な脆弱性を明らかにし、フィッシング検出のための電子メールの正当性を検証するのに役立つため、研究者にとって役立ちます。これらの詳細は、ホスティング環境、潜在的なサービスプロバイダー、およびターゲット組織の構成パターンに関する洞察を提供し、調査の取り組みを支援することもできます。
WAFまたはWebアプリケーションファイアウォールは、Webアプリケーションとインターネット間のHTTPトラフィックをフィルタリングおよび監視することにより、Webアプリケーションを保護するのに役立ちます。通常、クロスサイトの偽造、クロスサイトスリップティング(XSS)、ファイル包含、SQLインジェクションなどの攻撃からWebアプリケーションを保護します。
サイトがWAFを使用しているかどうか、および使用しているファイアウォールソフトウェア /サービスを使用しているかどうかを理解すると便利です。これは、いくつかの攻撃ベクトルに対するサイト保護に関する洞察を提供するだけでなく、ファイアウォール自体の脆弱性を明らかにする可能性があります。
正しく構成されたセキュリティHTTPヘッダーは、サイトに共通の攻撃に対する保護層を追加します。注意すべき主なヘッダーは次のとおりです。HTTP厳密な輸送セキュリティ(HSTS):HTTPの使用、中間の攻撃を緩和し、プロトコルダウングレードの試みを実施します。コンテンツセキュリティポリシー(CSP):クロスサイトのスクリプティングとデータインジェクション攻撃を防ぐために、Webページリソースを制約します。 X-Content-Type-Options:宣言されたコンテンツタイプから離れた応答をMime-Sniffingのブラウザが防止し、Mimeタイプの混乱攻撃を抑制します。 X-frame-options:ブラウザがページを<frame> 、 <iframe> 、 <embed> 、または<object>でレンダリングするかどうかを制御することにより、ユーザーをクリックジャックから保護します。
セキュリティヘッダーのレビューは、サイトの防御的な姿勢と潜在的な脆弱性に関する洞察を提供し、積極的な緩和を可能にし、セキュリティベストプラクティスのコンプライアンスを確保するため、重要です。
Waybackマシンからアーカイブの完全な履歴を取得します
これは、サイトの歴史と、時間の経過とともにどのように変化したかを理解するのに役立ちます。また、サイトの古いバージョンを見つけたり、削除されたコンテンツを見つけるのに役立ちます。
このチェックは、要求されたサイトのグローバルランクを示しています。これは、上位1億リストにあるWebサイトのみで正確です。 Tranco Project(以下を参照)のデータを使用しています。これは、傘、Majestic、QuantCast、The Chromeユーザーエクスペリエンスレポート、CloudFlareレーダーからWeb上のトップサイトを照合しています。
Webサイト全体のランクを知ることは、サイトの規模を理解し、それを他のサイトと比較するのに役立ちます。また、サイトの相対的な人気を理解したり、潜在的な傾向を特定するのに役立ちます。
最も人気のあるプライバシー、マルウェア、および親の制御ブロッキングDNSサーバーを使用して、URLへのアクセスをチェックします。
サイトがいくつかの一般的なマルウェアリストとフィッシングリストに表示されるかどうかを確認して、脅威レベルを決定します。
これらのサービスのいずれかによってサイトが脅威としてリストされているかどうかを知ることは、サイトの評判を理解し、潜在的な傾向を特定するのに役立ちます。
これらは、セキュアな接続を確立するためにサーバーが使用する暗号化アルゴリズムの組み合わせです。キーエクスチェンジアルゴリズム、バルク暗号化アルゴリズム、MACアルゴリズム、およびPRF(擬似ランダム関数)が含まれます。
これは、セキュリティの観点からテストするための重要な情報です。暗号スイートは、それに含まれるアルゴリズムと同じくらい安全なためです。暗号スイートの暗号化または認証アルゴリズムのバージョンが脆弱性を知っている場合、Cipher SuiteおよびTLS接続がダウングレードまたは他の攻撃に対して脆弱になる可能性があります
これは、MozillaのTLS天文台のガイドラインを使用して、TLS構成のセキュリティを確認します。悪い構成をチェックします。これにより、サイトの攻撃に対して脆弱なままになり、修正方法に関するアドバイスがあります。また、時代遅れで最新のTLS構成に関する提案も提供します
サイトのTLS構成で問題を理解することで、潜在的な脆弱性に対処し、サイトが最新かつ最も安全なTLS構成を使用していることを確認できます。
これにより、さまざまなクライアント(ブラウザー、オペレーティングシステム)がサーバーでTLSハンドシェイクを実行する方法をシミュレートします。互換性の問題と不安定な構成を特定するのに役立ちます。
このチェックは、要求されたURL / IPが解決するWebページのスクリーンショットを採用し、表示します。
これは、特定のWebサイトがどのように見えるかを確認するのに役立つかもしれません。ブラウザ、IP、または場所の制約がありません。
こちらをご覧ください: web-check.xyz/about
下のボタンをクリックして、展開してnetlify?
下のボタンをクリックして、deployにvercelに展開しますか?
docker run -p 3000:3000 lissy93/web-checkを実行してから、 localhost:3000を開きます
docker画像を取得できます。
lissy93/web-checkghcr.io/lissy93/web-checkdocker build -t web-check .開発中のセクションにリストされている前提条件をインストールしてから、実行してください。
git clone https://github.com/Lissy93/web-check.git # Download the code from GitHub
cd web-check # Navigate into the project dir
yarn install # Install the NPM dependencies
yarn build # Build the app for production
yarn serve # Start the app (API and GUI)デフォルトでは、構成は必要ありません。
ただし、いくつかのオプションの環境変数があり、いくつかの追加のチェックにアクセスできるように設定したり、外部APIを使用する一部のチェックのレート制限を増やすことができます。
APIキーと資格情報:
| 鍵 | 価値 |
|---|---|
GOOGLE_CLOUD_API_KEY | Google APIキー(こちらをご覧ください)。これは、サイトの品質メトリックを返すために使用できます |
REACT_APP_SHODAN_API_KEY | Shodan APIキー(こちらをご覧ください)。これにより、特定のドメインの関連ホスト名が表示されます |
REACT_APP_WHO_API_KEY | whaapiキー(こちらをご覧ください)。これは、デフォルトのジョブよりも包括的なWHOISレコードを表示します |
GOOGLE_CLOUD_API_KEY Google APIキー(こちらをご覧ください)。これは、サイトの品質メトリックを返すために使用できますREACT_APP_SHODAN_API_KEYショーダンAPIキー(こちらをご覧ください)。これにより、特定のドメインの関連ホスト名が表示されますREACT_APP_WHO_API_KEY -apiキー(こちらをご覧ください)。これは、デフォルトのジョブよりも包括的なWHOISレコードを表示しますSECURITY_TRAILS_API_KEYセキュリティトレイルAPIキー(こちらをご覧ください)。これにより、IPに関連付けられたORG情報が表示されますCLOUDMERSIVE_API_KEY -API CloudMersiveのキー(こちらをご覧ください)。これは、IPに関連する既知の脅威を示しますTRANCO_USERNAME -trancoメール(こちらをご覧ください)。これにより、トラフィックに基づいてサイトのランクが表示されますTRANCO_API_KEYトランコAPIキー(こちらをご覧ください)。これにより、トラフィックに基づいてサイトのランクが表示されますURL_SCAN_API_KEY - A URLScan API key (get here). This will fetch miscalanious info about a siteBUILT_WITH_API_KEY - A BuiltWith API key (get here). This will show the main features of a siteTORRENT_IP_API_KEY - A torrent API key (get here). This will show torrents downloaded by an IPConfiguration Settings :
| 鍵 | 価値 |
|---|---|
PORT | Port to serve the API, when running server.js (eg 3000 ) |
API_ENABLE_RATE_LIMIT | Enable rate-limiting for the /api endpoints (eg true ) |
API_TIMEOUT_LIMIT | The timeout limit for API requests, in milliseconds (eg 10000 ) |
API_CORS_ORIGIN | Enable CORS, by setting your allowed hostname(s) here (eg example.com ) |
CHROME_PATH | The path the Chromium executable (eg /usr/bin/chromium ) |
DISABLE_GUI | Disable the GUI, and only serve the API (eg false ) |
REACT_APP_API_ENDPOINT | The endpoint for the API, either local or remote (eg /api ) |
All values are optional.
You can add these as environmental variables. Either put them directly into an .env file in the projects root, or via the Netlify / Vercel UI, or by passing to the Docker container with the --env flag, or using your own environmental variable management system
Note that keys that are prefixed with REACT_APP_ are used client-side, and as such they must be scoped correctly with minimum privileges, since may be made visible when intercepting browser <-> server network requests
git clone [email protected]:Lissy93/web-check.gitcd web-checkyarnyarn dev You'll need Node.js (V 18.16.1 or later) installed, plus yarn as well as git. Some checks also require chromium , traceroute and dns to be installed within your environment. These jobs will just be skipped if those packages aren't present.
Contributions of any kind are very welcome, and would be much appreciated. For Code of Conduct, see Contributor Convent.
To get started, fork the repo, make your changes, add, commit and push the code, then come back here to open a pull request. If you're new to GitHub or open source, this guide or the git docs may help you get started, but feel free to reach out if you need any support.
If you've found something that doesn't work as it should, or would like to suggest a new feature, then go ahead and raise a ticket on GitHub. For bugs, please outline the steps needed to reproduce, and include relevant info like system info and resulting logs.
The app will remain 100% free and open source. But due to the amount of traffic that the hosted instance gets, the lambda function usage is costing about $25/month. Any help with covering the costs via GitHub Sponsorship would be much appreciated. It's thanks to the support of the community that this project is able to be freely available for everyone :)
Credit to the following users for contributing to Web-Check
Alicia Sykes | Alicia Bot | Denis Simonov | Mounir Samite | Chris Carini | Michael Bolens |
Marcus Sand | Jinna Baalu | GreyXor | Brian Teeman | Vitaly Karasik | n4n5 |
Lth | Abhishek Muge | Ulises Gascón | PhiRequiem | Myzel394 | Murray Christopherson |
Marco Ochse | John Hupperts | Ikko Eltociear Ashimine | Gertje823 | Ed Preston | Dimitri Kandassamy |
0xflotus |
Huge thanks to these wonderful people, who sponsor me on GitHub, their support helps cover the costs required to keep Web-Check and my other projects free for everyone. Consider joining them, by sponsoring me on GitHub if you're able.
Vincent Koc | Torgny Bjers | Anand Chowdhary | Shrippen | Zach Biles | Ulises Gascón |
Digital Archeology | InDieTasten | Araguaci | Brian McGonagill | Vlad | HeliXZz |
Patrick Van Der Veken | Göksel Yeşiller | Shiverme Timbers | Forward Email - Open-source & Privacy-focused Email Service (2023) | GT | Bastii717 |
Umbrel | Frankdez93 | Terminal Trove | Nrvo | hudsonrock-partnerships |
Lissy93/Web-Check is licensed under MIT © Alicia Sykes 2023.
For information, see TLDR Legal > MIT
The MIT License (MIT)
Copyright (c) Alicia Sykes <[email protected]>
Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sub-license, and/or sell
copies of the Software, and to permit persons to whom the Software is furnished
to do so, subject to the following conditions:
The above copyright notice and this permission notice shall be included install
copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANT ABILITY, FITNESS FOR A
PARTICULAR PURPOSE AND NON INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
© Alicia Sykes 2023
Licensed under MIT
Thanks for visiting :)
