web check
Web Check V1
Inteligência abrangente e de código aberto sob demanda para qualquer site
web-check.xyz
Gentilmente suportado por:
O $ Home de todas as coisas no terminal.
Encontre sua próxima ferramenta CLI / TUI e muito mais no Terminal Trove,
Obtenha atualizações sobre novas ferramentas em nosso boletim informativo.
Obtenha uma visão dos trabalhos internos de um determinado site: Descubra possíveis vetores de ataque, analise a arquitetura do servidor, visualize configurações de segurança e aprenda quais tecnologias um site está usando.
Atualmente, o painel mostrará: IP Informações, cadeia SSL, registros DNS, cookies, cabeçalhos, informações de domínio, pesquisa de rastreamento, mapa de página, localização do servidor, redirecionamento ledger, portas abertas, traceroute, extensões de segurança DNS, desempenho do site, rastreadores, associados Nomes de host, pegada de carbono. Fique atento, pois adicionarei mais em breve!
O objetivo é ajudá -lo a entender, otimizar e proteger seu site facilmente.
Gerenciamento de repositório e diversos:
Observe que esta lista precisa de atualização, muitos outros empregos foram adicionados desde ...
A seção a seguir descreve os principais recursos e explica brevemente por que esses dados podem ser úteis para você saber, além de vincular mais recursos para aprender mais.
Um endereço IP (endereço do protocolo da Internet) é um rótulo numérico atribuído a cada dispositivo conectado a uma rede / Internet. O IP associado a um determinado domínio pode ser encontrado consultando o sistema de nome de domínio (DNS) para o registro A (endereço) do domínio.
Encontrar o IP de um determinado servidor é a primeira etapa para realizar mais investigações, pois nos permite investigar o servidor para obter informações adicionais. Incluindo a criação de um mapa detalhado da infraestrutura de rede de um destino, identificando a localização física de um servidor, identificando o serviço de hospedagem e até descobrindo outros domínios hospedados no mesmo endereço IP.
Os certificados SSL são certificados digitais que autenticam a identidade de um site ou servidor, ativam a comunicação criptografada segura (HTTPS) e estabelece confiança entre clientes e servidores. Um certificado SSL válido é necessário para que um site possa usar o protocolo HTTPS e criptografar os dados do usuário + no trânsito. Os certificados SSL são emitidos pelas autoridades de certificação (CAS), que são terceiros confiáveis que verificam a identidade e a legitimidade do titular do certificado.
Os certificados SSL não apenas fornecem a garantia de que a transmissão de dados de e para o site é segura, mas também fornecem dados valiosos do OSINT. As informações de um certificado SSL podem incluir a autoridade emissora, o nome de domínio, seu período de validade e, às vezes, até os detalhes da organização. Isso pode ser útil para verificar a autenticidade de um site, entender sua configuração de segurança ou mesmo para descobrir subdomínios ou outros serviços associados.
Esta tarefa envolve procurar os registros DNS associados a um domínio específico. O DNS é um sistema que traduz nomes de domínio legíveis por humanos em endereços IP que os computadores usam para se comunicar. Existem vários tipos de registros DNS, incluindo um (endereço), MX (troca de correio), NS (Name Server), CNAME (nome canônico) e txt (texto), entre outros.
A extração de registros do DNS pode fornecer uma riqueza de informações em uma investigação do OSINT. Por exemplo, os registros A e AAAA podem divulgar endereços IP associados a um domínio, potencialmente revelando a localização dos servidores. A MX Records pode fornecer pistas sobre o provedor de e -mail de um domínio. Os registros TXT são frequentemente usados para vários fins administrativos e às vezes podem vazar inadvertidamente informações internas. Compreender a configuração de DNS de um domínio também pode ser útil para entender como sua infraestrutura on -line é construída e gerenciada.
A tarefa de cookies envolve o exame dos cookies HTTP definidos pelo site de destino. Os cookies são pequenos dados armazenados no computador do usuário pelo navegador da web enquanto navegam em um site. Eles mantêm uma quantidade modesta de dados específicos para um cliente e um site específicos, como preferências do site, o estado da sessão do usuário ou informações de rastreamento.
Os cookies podem divulgar informações sobre como o site rastreia e interage com seus usuários. Por exemplo, os cookies da sessão podem revelar como as sessões de usuário são gerenciadas e os cookies de rastreamento podem sugerir que tipo de estruturas de rastreamento ou análise estão sendo usadas. Além disso, o exame de políticas e práticas de cookies pode oferecer informações sobre as configurações de segurança do site e conformidade com os regulamentos de privacidade.
Robots.txt é um arquivo encontrado (geralmente) na raiz de um domínio e é usado para implementar o Robots Exclusão Protocol (REP) para indicar quais páginas devem ser ignoradas pelos rastreadores e bots. É uma boa prática evitar que os rastreadores de mecanismos de pesquisa sobrecarreguem seu site, mas não devem ser usados para manter as páginas fora dos resultados da pesquisa (use a meta-tag ou cabeçalho noindex).
Muitas vezes, é útil verificar o arquivo robots.txt durante uma investigação, pois às vezes pode divulgar os diretórios e páginas que o proprietário do site não deseja ser indexado, potencialmente porque eles contêm informações confidenciais ou revelam a existência de ocultos ou ocultos ou diretórios desvinculados. Além disso, o entendimento das regras de rastreamento pode oferecer informações sobre as estratégias de SEO de um site.
A tarefa de cabeçalhos envolve extrair e interpretar os cabeçalhos HTTP enviados pelo site de destino durante o ciclo de solicitação-resposta. Os cabeçalhos HTTP são pares de valor-chave enviados no início de uma resposta HTTP ou antes dos dados reais. Os cabeçalhos contêm diretrizes importantes sobre como lidar com os dados que estão sendo transferidos, incluindo políticas de cache, tipos de conteúdo, codificação, informações do servidor, políticas de segurança e muito mais.
A análise dos cabeçalhos HTTP pode fornecer informações significativas em uma investigação do OSINT. Os cabeçalhos podem revelar configurações específicas de servidor, tecnologias escolhidas, diretivas de cache e várias configurações de segurança. Essas informações podem ajudar a determinar a pilha de tecnologia subjacente de um site, medidas de segurança do lado do servidor, vulnerabilidades em potencial e práticas operacionais gerais.
Usando Lighthouse, a tarefa de métricas de qualidade mede o desempenho, a acessibilidade, as melhores práticas e o SEO do site de destino. Isso retorna uma lista de verificação simples de 100 métricas principais, juntamente com uma pontuação para cada categoria, para avaliar a qualidade geral de um determinado site.
Útil para avaliar a saúde técnica de um site, os problemas de SEO, identificar vulnerabilidades e garantir a conformidade com os padrões.
A tarefa de localização do servidor determina a localização física do servidor que hospeda um determinado site com base em seu endereço IP. Isso é feito procurando o IP em um banco de dados de local, que mapeia o IP para um Lat + Long of Data Centers e ISPs conhecidos. A partir da latitude e longitude, é possível mostrar informações contextuais adicionais, como um alfinete no mapa, juntamente com endereço, bandeira, fuso horário, moeda, etc.
Conhecer a localização do servidor é um bom primeiro passo para entender melhor um site. Para os proprietários do site, isso ajuda a otimizar a entrega de conteúdo, garantindo a conformidade com os requisitos de residência de dados e identificando possíveis problemas de latência que podem afetar a experiência do usuário em regiões geográficas específicas. E para o pesquisador de segurança, avalie o risco representado por regiões ou jurisdições específicas sobre ameaças e regulamentos cibernéticos.
Essa tarefa envolve identificar e listar todos os domínios e subdomínios (nomes de hosts) associados ao domínio principal do site. Esse processo geralmente envolve a enumeração do DNS para descobrir quaisquer domínios e nomes de host vinculados, além de analisar os registros DNS conhecidos.
Durante uma investigação, entender o escopo completo da presença na web de um alvo é fundamental. Os domínios associados podem levar à descoberta de projetos relacionados, sites de backup, locais de desenvolvimento/teste ou serviços vinculados ao site principal. Às vezes, isso pode fornecer informações adicionais ou possíveis vulnerabilidades de segurança. Uma lista abrangente de domínios associados e nomes de host também pode fornecer uma visão geral da estrutura da organização e da pegada on -line.
Esta tarefa traça a sequência de redirecionamentos HTTP que ocorrem do URL original para o URL de destino final. Um redirecionamento HTTP é uma resposta com um código de status que aconselha o cliente a ir para outra URL. Os redirecionamentos podem ocorrer por vários motivos, como a normalização da URL (direcionando para a versão www do site), aplicando HTTPs, encurtadores de URL ou encaminhamento de usuários para um novo local.
Compreender a cadeia de redirecionamento pode ser útil por vários motivos. Do ponto de vista da segurança, as cadeias de redirecionamento longo ou complicado podem ser um sinal de riscos potenciais de segurança, como redirecionamentos não criptografados na cadeia. Além disso, os redirecionamentos podem afetar o desempenho do site e o SEO, pois cada redirecionamento introduz o tempo de ida e volta adicional (RTT). Para o OSINT, o entendimento da cadeia de redirecionamento pode ajudar a identificar relacionamentos entre diferentes domínios ou revelar o uso de certas tecnologias ou provedores de hospedagem.
Os registros TXT são um tipo de registro DNS que fornece informações de texto para fontes fora do seu domínio. Eles podem ser usados para uma variedade de propósitos, como verificar a propriedade do domínio, garantir a segurança por e -mail e até impedir alterações não autorizadas em seu site.
Os registros do TXT geralmente revelam quais serviços e tecnologias externos estão sendo usados com um determinado domínio. Eles podem revelar detalhes sobre a configuração de email do domínio, o uso de serviços específicos como o Google Workspace ou Microsoft 365 ou medidas de segurança no local como SPF e DKIM. Compreender esses detalhes pode fornecer uma visão das tecnologias usadas pela organização, suas práticas de segurança por email e vulnerabilidades em potencial.
Verifica se um servidor está online e respondendo a solicitações.
As portas abertas em um servidor são pontos finais de comunicação que estão disponíveis para estabelecer conexões com os clientes. Cada porta corresponde a um serviço ou protocolo específico, como HTTP (porta 80), https (porta 443), FTP (porta 21), etc. As portas abertas em um servidor podem ser determinadas usando técnicas como a varredura de porta.
Saber quais portas estão abertas em um servidor podem fornecer informações sobre os serviços em execução nesse servidor, úteis para entender as vulnerabilidades potenciais do sistema ou para entender a natureza dos serviços que o servidor está fornecendo.
O Traceroute é uma ferramenta de diagnóstico de rede usada para rastrear em tempo real o caminho adotado por um pacote de informações de um sistema para outro. Ele registra cada salto ao longo da rota, fornecendo detalhes sobre os IPs dos roteadores e o atraso em cada ponto.
Nas investigações do OSINT, o Traceroute pode fornecer informações sobre os caminhos de roteamento e a geografia da infraestrutura de rede que suporta um site ou serviço. Isso pode ajudar a identificar gargalos de rede, potencial censura ou manipulação do tráfego de rede e dar uma noção geral da estrutura e eficiência da rede. Além disso, os endereços IP coletados durante o Traceroute podem fornecer pontos adicionais de consulta para uma investigação posterior da OSINT.
Esta tarefa calcula a pegada estimada de carbono de um site. É baseado na quantidade de dados que estão sendo transferidos e processados e no uso de energia dos servidores que hospedam e entregam o site. Quanto maior o site e mais complexos seus recursos, maior a pegada de carbono provavelmente será.
Do ponto de vista da OSINT, a compreensão da pegada de carbono de um site não fornece informações diretamente sobre seu funcionamento interno ou a organização por trás dele. No entanto, ainda pode ser dados valiosos em análises mais amplas, especialmente em contextos em que o impacto ambiental é uma consideração. Por exemplo, pode ser útil para ativistas, pesquisadores ou hackers éticos interessados na sustentabilidade da infraestrutura digital e que desejam responsabilizar as organizações por seu impacto ambiental.
Esta tarefa recupera várias informações sobre o servidor que hospeda o site de destino. Isso pode incluir o tipo de servidor (por exemplo, Apache, Nginx), o provedor de hospedagem, o número do sistema autônomo (ASN) e muito mais. As informações geralmente são obtidas através de uma combinação de pesquisas de endereço IP e análise dos cabeçalhos de resposta HTTP.
Em um contexto OSINT, as informações do servidor podem fornecer pistas valiosas sobre a organização por trás de um site. Por exemplo, a escolha do provedor de hospedagem pode sugerir a região geográfica em que a organização opera, enquanto o tipo de servidor pode sugerir as tecnologias usadas pela organização. O ASN também poderia ser usado para encontrar outros domínios hospedados pela mesma organização.
Esta tarefa recupera o WHOIS registra o domínio de destino. Os registros da WHOIS são uma rica fonte de informação, incluindo o nome e as informações de contato do registrante de domínio, as datas de criação e validade do domínio, os servidores de nomes do domínio e muito mais. As informações geralmente são obtidas através de uma consulta a um servidor de banco de dados Whois.
Em um contexto OSINT, a WHOIS Records pode fornecer pistas valiosas sobre a entidade por trás de um site. Eles podem mostrar quando o domínio foi registrado pela primeira vez e quando está pronto para expirar, o que poderia fornecer informações sobre a linha do tempo operacional da entidade. As informações de contato, embora muitas vezes redigidas ou anonimizadas, às vezes podem levar a avenidas adicionais de investigação. Os servidores de nomes também podem ser usados para vincular vários domínios de propriedade da mesma entidade.
Esta tarefa recupera o WHOIS registra o domínio de destino. Os registros da WHOIS são uma rica fonte de informação, incluindo o nome e as informações de contato do registrante de domínio, as datas de criação e validade do domínio, os servidores de nomes do domínio e muito mais. As informações geralmente são obtidas através de uma consulta a um servidor de banco de dados Whois.
Em um contexto OSINT, a WHOIS Records pode fornecer pistas valiosas sobre a entidade por trás de um site. Eles podem mostrar quando o domínio foi registrado pela primeira vez e quando está pronto para expirar, o que poderia fornecer informações sobre a linha do tempo operacional da entidade. As informações de contato, embora muitas vezes redigidas ou anonimizadas, às vezes podem levar a avenidas adicionais de investigação. Os servidores de nomes também podem ser usados para vincular vários domínios de propriedade da mesma entidade.
Sem o DNSSEC, é possível que os atacantes do MITM falsificem registros e levassem os usuários a sites de phishing. Isso ocorre porque o sistema DNS não inclui métodos internos para verificar se a resposta à solicitação não foi forjada ou que qualquer outra parte do processo não foi interrompida por um invasor. As Extensões de Segurança do DNS (DNSSEC) protegem as pesquisas do DNS assinando seus registros DNS usando chaves públicas, para que os navegadores possam detectar se a resposta foi adulterada. Outra solução para esse problema é o DOH (DNS sobre HTTPS) e DOT (DNS sobre TLD).
As informações do DNSSEC fornecem informações sobre o nível de maturidade de segurança cibernética de uma organização e vulnerabilidades em potencial, principalmente em torno de falsificação de DNS e envenenamento por cache. Se nenhum DNS Secururity (DNSSEC, DOH, DOT, etc) for implementado, isso poderá fornecer um ponto de entrada para um invasor.
Verifica quais recursos principais estão presentes em um site. Se um recurso marcado como morto, isso significa que não está sendo usado ativamente no tempo de carregamento
Isso é útil para entender do que um site é capaz e de que tecnologias procurar
O HTTP Strict Transport Security (HSTS) é um mecanismo de política de segurança da Web que ajuda a proteger os sites contra ataques de rebaixamento do protocolo e seqüestro de biscoitos. Um site pode ser incluído na lista de pré -carga do HSTS em conformidade com um conjunto de requisitos e depois se enviando para a lista.
Há várias razões pelas quais é importante que um site seja HSTS ativado: 1. Os favoritos do usuário ou digitam manualmente http://example.com e estão sujeitos a um atacante HSTS de man-in-the-middle automaticamente redireciona solicitações HTTP para https para https para O domínio de destino 2. Aplicativo da Web que deve ser puramente HTTPS inadvertidamente contém links HTTP ou serve conteúdo em HTTP HSTs redireciona automaticamente solicitações HTTP para HTTPS para o domínio alvo 3. Um invasor de manipulação de manipulação Um usuário da vítima usando um certificado inválido e espera
Esta verificação determina os servidores DNS que o URL / IP solicitado resolve. Também dispara uma verificação rudimentar para ver se o servidor DNS suporta DOH e o clima é vulnerável ao envenenamento por cache do DNS.
Verifica quais tecnologias um site é construído. Isso é feito buscando e analisando o site e comparando -o com uma lista de um bit de regex mantida pela Wappalyzer para identificar as impressões digitais exclusivas que diferentes tecnologias saem.
Identificar a pilha de tecnologia de um site ajuda a avaliar sua segurança, expondo possíveis vulnerabilidades, informa análises competitivas e decisões de desenvolvimento e pode orientar estratégias de marketing personalizadas. A aplicação ética desse conhecimento é crucial para evitar atividades prejudiciais, como roubo de dados ou intrusão não autorizada.
Este trabalho encontra e analisa o mapa de sitemon listado de um site. Este arquivo lista subpáginas públicas no site, que o autor deseja ser rastreado pelos mecanismos de pesquisa. Os sitemaps ajudam com o SEO, mas também são úteis para ver todos os conteúdos públicos de um sites rapidamente.
Entenda a estrutura do conteúdo público de um site e, para os proprietários de sites, verifique se o seu sitemap do site é acessível, parsável e contém tudo o que você deseja.
O arquivo Security.txt informa aos pesquisadores como eles podem divulgar com responsabilidade quaisquer problemas de segurança encontrados em seu site. O padrão foi proposto no RFC 9116 e especifica que esse arquivo deve incluir um ponto de contato (endereço de email), bem como opcionalmente outras informações, como um link para a política de divulgação de segurança, chave PGP, linguagem oferecida, expiração política e mais . O arquivo deve estar localizado na raiz do seu domínio, em /security.txt ou /.well-nknown/security.txt.
Isso é importante, pois, sem um ponto de contato definido, um pesquisador de segurança pode não conseguir relatar um problema crítico de segurança ou usar canais públicos inseguros ou possivelmente. Do ponto de vista do OSINT, você também pode obter informações sobre um site, incluindo sua postura sobre segurança, seu provedor de CSAF e meta -dados da chave pública do PGP.
Exibe todos os links internos e externos encontrados em um site, identificados pelos atributos HREF anexados aos elementos de ancoragem.
Para os proprietários do site, isso é útil para diagnosticar problemas de SEO, melhorar a estrutura do site, entender como o conteúdo está interconectado. Os links externos podem mostrar parcerias, dependências e possíveis riscos de reputação. Do ponto de vista da segurança, os links de saída podem ajudar a identificar quaisquer sites maliciosos ou comprometidos com a qual o site está sem saber. A análise de links internos pode ajudar a entender a estrutura do site e potencialmente descobrir páginas ocultas ou vulneráveis que não pretendem ser públicas. E para um investigador da OSINT, ele pode ajudar na construção de uma compreensão abrangente do alvo, descobrindo entidades, recursos relacionados ou até mesmo partes ocultas do site.
Os sites podem incluir certas metatags, que dizem aos mecanismos de pesquisa e plataformas de mídia social quais informações exibirem. Isso geralmente inclui um título, descrição, miniatura, palavras -chave, autor, contas sociais etc.
Adicionando esses dados ao seu site aumentará o SEO e, como pesquisador OSINT, pode ser útil entender como um determinado aplicativo da web se descreve
DMARC (autenticação de mensagem baseada em domínio, relatórios e conformidade): DMARC é um protocolo de autenticação por email que funciona com SPF e DKIM para impedir a falsificação e phishing de email. Ele permite que os proprietários de domínio especifiquem como lidar com e -mail não autenticado por meio de uma política publicada no DNS e fornece uma maneira de receber servidores de email para enviar feedback sobre a conformidade dos emails ao remetente. BIMI (Indicadores da marca para identificação de mensagens): BIMI é um padrão de email emergente que permite que as organizações exibam um logotipo nos clientes de email de seus clientes automaticamente. BIMI vincula o logotipo ao registro DMARC do domínio, fornecendo outro nível de garantia visual aos destinatários de que o email é legítimo. DKIM (DOMAINKEYS Identificou Mail): DKIM é um padrão de segurança de email projetado para garantir que as mensagens não fossem alteradas em trânsito entre os servidores de envio e destinatário. Ele usa assinaturas digitais vinculadas ao domínio do remetente para verificar o remetente e garantir a integridade da mensagem. SPF (Quadro de Política do Seler): SPF é um método de autenticação por email projetado para evitar a falsificação de email. Ele especifica quais servidores de email estão autorizados a enviar email em nome de um domínio, criando um registro DNS. Isso ajuda a proteger contra o spam, fornecendo uma maneira de receber servidores de email para verificar se o correio recebido de um domínio vem de um host autorizado pelos administradores desse domínio.
Essas informações são úteis para os pesquisadores, pois ajudam a avaliar a postura de segurança por email de um domínio, descobrir vulnerabilidades em potencial e verificar a legitimidade dos e -mails para a detecção de phishing. Esses detalhes também podem fornecer informações sobre o ambiente de hospedagem, potenciais provedores de serviços e os padrões de configuração de uma organização -alvo, ajudando nos esforços de investigação.
Um firewall WAF ou aplicativo da Web ajuda a proteger os aplicativos da Web filtrando e monitorando o tráfego HTTP entre um aplicativo da Web e a Internet. Normalmente, ele protege os aplicativos da Web de ataques como falsificação entre sites, scripts cruzados (XSS), inclusão de arquivos e injeção de SQL, entre outros.
É útil entender se um site está usando um WAF e qual software / serviço do firewall está usando, pois isso fornece uma visão da proteção dos sites contra vários vetores de ataque, mas também pode revelar vulnerabilidades no próprio firewall.
Os cabeçalhos HTTP de segurança configurados corretamente adicionam uma camada de proteção contra ataques comuns ao seu site. Os principais cabeçalhos a serem cientes são: HTTP Strict Transport Security (HSTS): aplica o uso de HTTPs, mitigando ataques de man-in-the-middle e tentativas de downgrade de protocolo. Política de Segurança de Conteúdo (CSP): restringe os recursos da página da Web para evitar ataques de scripts entre sites e injeção de dados. Opções do tipo X-Content: impede que os navegadores cheiram uma resposta do tipo de conteúdo declarado, reduzindo os ataques de confusão do tipo MIME. Opções x-frame: protege os usuários dos ataques de clickjacking controlando se um navegador deve renderizar a página em um <frame> , <iframe> , <embed> ou <object> .
A revisão dos cabeçalhos de segurança é importante, pois oferece informações sobre a postura defensiva de um site e as vulnerabilidades em potencial, permitindo a mitigação proativa e garantindo a conformidade com as melhores práticas de segurança.
Busca a história completa dos arquivos da máquina Wayback
Isso é útil para entender a história de um site e como ele mudou com o tempo. Também pode ser útil para encontrar versões antigas de um site ou para encontrar conteúdo que foi removido.
Esta verificação mostra a classificação global do site solicitado. Isso é preciso apenas para sites que estão na lista dos 100 milhões de melhores milhões. Estamos usando dados do projeto Tranco (veja abaixo), que coleta os principais sites da web da Umbrella, Majestic, Quantcast, o Relatório de Experiência do Usuário do Chrome e o Radar Cloudflare.
Conhecer um ranking global geral de um sites pode ser útil para entender a escala do site e compará -la a outros sites. Também pode ser útil para entender a popularidade relativa de um site e para identificar possíveis tendências.
Verifica o acesso à URL usando mais de 10 dos servidores DNS mais populares de privacidade, malware e controle dos pais.
Verifica se um site aparece em várias listas de malware e phishing comuns, para determinar seu nível de ameaça.
Saber se um site é listado como uma ameaça por qualquer um desses serviços pode ser útil para entender a reputação de um site e para identificar possíveis tendências.
São combinações de algoritmos criptográficos usados pelo servidor para estabelecer uma conexão segura. Inclui o algoritmo de troca de chaves, o algoritmo de criptografia em massa, o algoritmo MAC e o PRF (função pseudorandom).
Esta é uma informação importante para testar a partir de uma perspectiva de segurança. Porque uma suíte cifra é tão segura quanto os algoritmos que ele contém. Se a versão do algoritmo de criptografia ou autenticação em uma suíte cifra conheceu vulnerabilidades que a suíte cifra e a conexão TLS podem então vulneráveis a um downgrade ou outro ataque
Isso usa diretrizes do Observatório TLS de Mozilla para verificar a segurança da configuração do TLS. Ele verifica as configurações ruins, o que pode deixar o site vulnerável ao ataque, além de dar conselhos sobre como corrigir. Também dará sugestões sobre as configurações TLS desatualizadas e modernas
Compreender os problemas com a configuração do TLS de um site ajudará você a lidar com possíveis vulnerabilidades e garantirá que o site esteja usando a configuração TLS mais recente e mais segura.
Isso simula como diferentes clientes (navegadores, sistemas operacionais) executariam um aperto de mão TLS com o servidor. Ajuda a identificar problemas de compatibilidade e configurações inseguras.
Esta verificação recebe uma captura de tela da página da Web para a qual o URL / IP solicitado resolve e a exibe.
Isso pode ser útil para ver como é um determinado site, livre das restrições do seu navegador, IP ou local.
Leia mais aqui: web-check.xyz/about
Clique no botão abaixo, para implantar para netlify?
Clique no botão abaixo, para implantar para o Vercel?
Run docker run -p 3000:3000 lissy93/web-check , depois abra localhost:3000
Você pode obter a imagem do Docker de:
lissy93/web-checkghcr.io/lissy93/web-checkdocker build -t web-check .Instale os pré -requisitos listados na seção em desenvolvimento e execute:
git clone https://github.com/Lissy93/web-check.git # Download the code from GitHub
cd web-check # Navigate into the project dir
yarn install # Install the NPM dependencies
yarn build # Build the app for production
yarn serve # Start the app (API and GUI)Por padrão, nenhuma configuração é necessária.
Mas existem algumas variáveis ambientais opcionais que você pode definir para fornecer acesso a algumas verificações adicionais ou para aumentar os limites da taxa para alguns cheques que usam APIs externas.
API Keys & Credenciais :
| Chave | Valor |
|---|---|
GOOGLE_CLOUD_API_KEY | Uma chave da API do Google (chegue aqui). Isso pode ser usado para retornar métricas de qualidade para um site |
REACT_APP_SHODAN_API_KEY | Uma chave de API Shodan (chegue aqui). Isso mostrará nomes de host associados para um determinado domínio |
REACT_APP_WHO_API_KEY | Uma chave Whoapi (chegue aqui). Isso mostrará registros mais abrangentes do Whois do que o trabalho padrão |
GOOGLE_CLOUD_API_KEY - uma chave da API do Google (obtenha aqui). Isso pode ser usado para retornar métricas de qualidade para um siteREACT_APP_SHODAN_API_KEY - uma chave de API Shodan (venha aqui). Isso mostrará nomes de host associados para um determinado domínioREACT_APP_WHO_API_KEY - uma chave Whoapi (chegue aqui). Isso mostrará registros mais abrangentes do Whois do que o trabalho padrãoSECURITY_TRAILS_API_KEY - uma chave de API de trilhas de segurança (obtenha aqui). Isso mostrará informações de organização associadas ao IPCLOUDMERSIVE_API_KEY - Chave da API para CloudMersive (Vá aqui). Isso mostrará ameaças conhecidas associadas ao IPTRANCO_USERNAME - Um email de Tranco (chegue aqui). Isso mostrará a classificação de um site, com base no tráfegoTRANCO_API_KEY - Uma chave de API do Tranco (chegue aqui). This will show the rank of a site, based on trafficURL_SCAN_API_KEY - A URLScan API key (get here). This will fetch miscalanious info about a siteBUILT_WITH_API_KEY - A BuiltWith API key (get here). This will show the main features of a siteTORRENT_IP_API_KEY - A torrent API key (get here). This will show torrents downloaded by an IPConfiguration Settings :
| Chave | Valor |
|---|---|
PORT | Port to serve the API, when running server.js (eg 3000 ) |
API_ENABLE_RATE_LIMIT | Enable rate-limiting for the /api endpoints (eg true ) |
API_TIMEOUT_LIMIT | The timeout limit for API requests, in milliseconds (eg 10000 ) |
API_CORS_ORIGIN | Enable CORS, by setting your allowed hostname(s) here (eg example.com ) |
CHROME_PATH | The path the Chromium executable (eg /usr/bin/chromium ) |
DISABLE_GUI | Disable the GUI, and only serve the API (eg false ) |
REACT_APP_API_ENDPOINT | The endpoint for the API, either local or remote (eg /api ) |
All values are optional.
You can add these as environmental variables. Either put them directly into an .env file in the projects root, or via the Netlify / Vercel UI, or by passing to the Docker container with the --env flag, or using your own environmental variable management system
Note that keys that are prefixed with REACT_APP_ are used client-side, and as such they must be scoped correctly with minimum privileges, since may be made visible when intercepting browser <-> server network requests
git clone [email protected]:Lissy93/web-check.gitcd web-checkyarnyarn dev You'll need Node.js (V 18.16.1 or later) installed, plus yarn as well as git. Some checks also require chromium , traceroute and dns to be installed within your environment. These jobs will just be skipped if those packages aren't present.
Contributions of any kind are very welcome, and would be much appreciated. For Code of Conduct, see Contributor Convent.
To get started, fork the repo, make your changes, add, commit and push the code, then come back here to open a pull request. If you're new to GitHub or open source, this guide or the git docs may help you get started, but feel free to reach out if you need any support.
If you've found something that doesn't work as it should, or would like to suggest a new feature, then go ahead and raise a ticket on GitHub. For bugs, please outline the steps needed to reproduce, and include relevant info like system info and resulting logs.
The app will remain 100% free and open source. But due to the amount of traffic that the hosted instance gets, the lambda function usage is costing about $25/month. Any help with covering the costs via GitHub Sponsorship would be much appreciated. It's thanks to the support of the community that this project is able to be freely available for everyone :)
Credit to the following users for contributing to Web-Check
Alicia Sykes | Alicia Bot | Denis Simonov | Mounir Samite | Chris Carini | Michael Bolens |
Marcus Sand | Jinna Baalu | GreyXor | Brian Teeman | Vitaly Karasik | n4n5 |
Lth | Abhishek Muge | Ulises Gascón | PhiRequiem | Myzel394 | Murray Christopherson |
Marco Ochse | John Hupperts | Ikko Eltociear Ashimine | Gertje823 | Ed Preston | Dimitri Kandassamy |
0xflotus |
Huge thanks to these wonderful people, who sponsor me on GitHub, their support helps cover the costs required to keep Web-Check and my other projects free for everyone. Consider joining them, by sponsoring me on GitHub if you're able.
Vincent Koc | Torgny Bjers | Anand Chowdhary | Shrippen | Zach Biles | Ulises Gascón |
Digital Archeology | InDieTasten | Araguaci | Brian McGonagill | Vlad | HeliXZz |
Patrick Van Der Veken | Göksel Yeşiller | Shiverme Timbers | Forward Email - Open-source & Privacy-focused Email Service (2023) | GT | Bastii717 |
Umbrel | Frankdez93 | Terminal Trove | Nrvo | hudsonrock-partnerships |
Lissy93/Web-Check is licensed under MIT © Alicia Sykes 2023.
For information, see TLDR Legal > MIT
The MIT License (MIT)
Copyright (c) Alicia Sykes <[email protected]>
Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sub-license, and/or sell
copies of the Software, and to permit persons to whom the Software is furnished
to do so, subject to the following conditions:
The above copyright notice and this permission notice shall be included install
copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANT ABILITY, FITNESS FOR A
PARTICULAR PURPOSE AND NON INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE
SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
© Alicia Sykes 2023
Licensed under MIT
Thanks for visiting :)
