盲人无白天,醉鬼无时间。——朝鲜

Web-Check:把网站的“体检报告”一次看全

如果你经常需要快速看清一个网站的真实状态,像安全配置、技术栈、DNS、证书链、开放端口、抓取规则、历史档案、全球排名这些信息,手动东查西找不仅费时,还很难汇总成能拿来决策的视图。Web-Check 把这件事做成了一件顺手的事。

项目描述很直接:All‑in‑one OSINT tool for analysing any website。它既是一个开源的站点分析工具,也是一个面向安全研究、站点优化、架构梳理的“现场勘察面板”。你输入一个域名或 URL,它会从多个维度把相关数据拉齐,生成一份可以阅读、可以操作的综合报告。

能看到什么

Web-Check 的看板会聚合一组核心任务,围绕“了解、优化、加固”三件事展开。以下是常见板块的节选与用途说明:

  • IP 信息
    查询域名对应的 IP,为后续探测提供基础。常用于绘制目标网络的拓扑。

  • SSL 证书链
    展示证书签发与链路细节。既能确认 HTTPS 的安全属性,也能从证书信息做更多研判。

  • DNS 记录
    包括 A、AAAA、MX、TXT 等类型。用于还原域名解析的真实状态,发现隐藏服务与外部依赖。

  • Cookies
    快速查看站点设置的 HTTP Cookie 属性,理解行为跟踪与会话安全是否得当。

  • 抓取规则
    解析 robots.txt,了解站点希望搜索引擎如何机器人抓取,以及哪些路径被作者显式忽略。

  • HTTP 头部
    审视服务器返回的各类 Header,洞察缓存策略、安全策略与服务框架设置。

  • 质量指标
    基于 Lighthouse 给出性能、可访问性、最佳实践、SEO 的指标清单,辅助技术健康评估。

  • 服务器位置
    根据 IP 对应地理信息,提供服务器所在位置的参照。

  • 关联主机
    枚举与主域相关的域名与子域,帮助扩展目标范围,发现测试或备份环境。

  • 跳转链路
    分析从初始 URL 到最终落点的重定向过程,识别潜在的安全或体验风险。

  • TXT 记录
    用于外部验证与安全协议设置,直观了解站点与第三方服务的绑定情况。

  • 服务器状态与开放端口
    检查服务可用性与端口暴露面,理解背后运行的服务类型与潜在漏洞面。

  • Traceroute
    跟踪数据包的跳数路径,观察网络路径与路由分布。

  • 碳足迹估算
    以页面数据传输量和服务器能耗估算站点的碳排参考值。

  • 服务器信息与 Whois
    获取服务器类型、自治系统信息、注册信息与到期时间等背景数据。

  • DNSSEC 与 HTTP 安全特性
    检查是否启用 DNS 安全扩展与高价值的安全头,判断安全成熟度与风险敞口。

  • 技术栈识别
    通过指纹识别解析站点使用的框架与服务,辅助安全评估、竞品分析与技术决策。

  • 站点地图、链接、社交标签
    帮助 SEO 与运营侧校验结构是否合理、元信息是否完整。

  • 邮件安全
    检查 DMARC、SPF、DKIM 等配置,评估防钓鱼与域名滥用的防线。

  • WAF 与威胁检测
    判断是否部署应用防火墙,以及在常见威胁名单的出现情况。

  • TLS 相关检查
    包括 cipher suites、配置基线、握手模拟,定位协议层面的隐患与兼容性问题。

这些任务有的直接出结果,有的给出指向更深入工具的链接,整体目标是让你对一个站点的“内功心法”有一个实事求是的全景视图。

谁需��它

  • 安全研究
    需要快速“摸底”目标的基本面,识别容易被忽略的配置与外露面,辅助后续测试。

  • 站点维护
    用质量指标与安全特性清单做健康体检,补齐性能与安全的短板。

  • 架构理解
    通过 DNS、证书链、端口与指纹识别,还原服务栈与外部依赖,为迁移与优化提供依据。

  • SEO 与运营
    校验 sitemap、社交标签、跳转链路是否合理,减少搜索与分享端的损耗。

用起来很快

Web-Check 提供四种部署方式,适配不同偏好与场景。

一键 Docker

1
2
docker run -p 3000:3000 lissy93/web-check
# 打开 http://localhost:3000

镜像可从 DockerHub 或 GHCR 获取,也可以本地构建。

从源码运行

1
2
3
4
5
git clone https://github.com/Lissy93/web-check.git
cd web-check
yarn install
yarn build
yarn serve

开发模式需要准备 Node.js 与 yarn,以及 git。部分任务依赖本地的 chromiumtraceroutedns 工具,未安装时对应检查会跳过。

Netlify 与 Vercel

仓库内置一键部署入口,可以直接接入这两家平台完成构建与托管。

可选配置与钥匙

默认无需配置即可使用。但若你希望解锁更多数据源或提高外部 API 的速率限制,可以添加环境变量。以下示例仅供参考,请按需选择最小权限的键。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 质量指标(Lighthouse)
GOOGLE_CLOUD_API_KEY=你的谷歌 API Key

# 关联主机(Shodan)
REACT_APP_SHODAN_API_KEY=你的 Shodan API Key

# 更完整的 Whois
REACT_APP_WHO_API_KEY=你的 WhoAPI Key

# 服务端与前端常用配置
PORT=3000
API_ENABLE_RATE_LIMIT=true
API_TIMEOUT_LIMIT=10000
API_CORS_ORIGIN=example.com
REACT_APP_API_ENDPOINT=/api

提示:以 REACT_APP_ 开头的键会用于前端,请务必以最小权限和合适的作用域进行配置。

真实工作流的样子

以一个日常排查为例:

  1. 输入域名,先看 IP、DNS、证书链
    确认基础解析与 HTTPS 的状态,定位初步风险。

  2. 看 HTTP 安全与 WAF
    评估是否启用 HSTS、CSP 等关键头,确认是否有防火墙保护。

  3. 拉质量与性能指标
    用 Lighthouse 指标看 SEO、可访问性、性能,找出优先修复项。

  4. 研究关联域与开放端口
    扩展视野,识别旁路或测试环境,检查端口暴露是否合理。

  5. 查历史与排名
    通过 Wayback 看改动轨迹,用 Tranco 参考站点规模与演变趋势。

这一套下来,你会得到一份能落地的行动清单,而不是一堆分散的原始数据。

社区与贡献

Web-Check 是一个长期维护的开源项目,有在线托管实例,也有社区赞助与贡献者列表。欢迎通过 Issue 反馈问题,通过 PR 提交改进,或在赞助渠道帮助覆盖托管开销。正是这些支持让它能持续免费开放。

小结

Web-Check 的价值,在于把“现场勘察”变成“可复用工作流”:既有足够广度覆盖你关心的维度,又强调用得上、读得懂。
对安全、维护、架构理解、SEO 的日常工作来说,它就是你的通用工具箱。

如果你想用最短路径把一个站点的情况摸清楚,现在就跑一个容器或从源码起一个服务,输入一个域名,开始检查。
当那份“体检报告”被你整理成行动项,你就知道这款工具为什么值得常驻。

更多信息与演示: