lissy93/web-check
web-check là công cụ OSINT web all-in-one để phân tích website qua nhiều lớp như DNS, SSL/TLS, headers, cookies, tracker, hosting, CMS và tín hiệu bảo mật/quyền riêng tư. Phù hợp cho kiểm tra nhanh bề…
Kết luận: partial · Công nghệ: osint · web-security · privacy · site-audit · typescript
web-check là công cụ OSINT web all-in-one để phân tích website qua nhiều lớp như DNS, SSL/TLS, headers, cookies, tracker, hosting, CMS và tín hiệu bảo mật/quyền riêng tư. Phù hợp cho kiểm tra nhanh bề mặt công khai của domain/app web, đặc biệt hữu ích cho audit, troubleshooting và security review ở mức reconnaissance.
📖 Giới thiệu chi tiết
🧩 Nó là gì?
lissy93/web-check là một công cụ OSINT web all-in-one giúp bạn “soi” một website từ bên ngoài: DNS, SSL/TLS, headers, cookies, hosting, tracker, hiệu năng, bảo mật và nhiều thông tin công khai khác.
Nói đơn giản: bạn nhập một domain, web-check sẽ gom nhiều dữ liệu quan trọng về website đó vào một dashboard dễ xem.
🎯 Giải quyết vấn đề gì? Dành cho ai?
Khi kiểm tra một website, bạn thường phải dùng nhiều công cụ rời rạc để xem:
- Domain đang trỏ về IP nào?
- Website dùng chứng chỉ SSL/TLS có ổn không?
- Server trả về những HTTP headers gì?
- Có cookies/tracker nào đang hoạt động?
- Website dùng hosting, công nghệ, CMS hoặc dịch vụ nào?
- Có dấu hiệu cấu hình bảo mật chưa tốt không?
web-check gom các bước này lại thành một nơi duy nhất.
Dự án phù hợp cho:
- Người mới học web/security muốn hiểu “bên trong” một website hoạt động ra sao.
- Developer muốn kiểm tra nhanh website mình đang làm.
- DevOps/SRE cần troubleshooting domain, DNS, SSL/TLS, redirect, headers.
- Security engineer hoặc pentester dùng cho bước reconnaissance — tức là thu thập thông tin công khai ban đầu trước khi đánh giá bảo mật sâu hơn.
- Chủ website muốn xem website của mình đang lộ những thông tin gì ra bên ngoài.
⚙️ Hoạt động ra sao?
web-check nhận vào một website/domain, sau đó chạy nhiều bước kiểm tra độc lập và hiển thị kết quả trên dashboard.
Các cơ chế chính:
- Tra DNS records: xem domain có các bản ghi như A, AAAA, MX, NS, TXT, CNAME không. DNS là “sổ địa chỉ” giúp trình duyệt biết domain trỏ tới máy chủ nào.
- Kiểm tra IP & hosting: xác định IP, vị trí máy chủ, nhà cung cấp hosting hoặc hạ tầng liên quan.
- Phân tích SSL/TLS: xem chứng chỉ HTTPS do ai cấp, còn hạn không, chuỗi chứng chỉ có hợp lệ không.
- Đọc HTTP headers: kiểm tra thông tin server gửi về, ví dụ cache, content type, security headers.
- Xem cookies: phát hiện cookies website đặt trên trình duyệt, bao gồm cookies phiên đăng nhập hoặc tracking.
- Kiểm tra redirect: theo dõi website có chuyển hướng từ URL này sang URL khác không.
- Phát hiện tracker: tìm dấu hiệu của analytics, quảng cáo hoặc công cụ theo dõi người dùng.
- Xem robots.txt / crawl rules: kiểm tra quy tắc dành cho bot/công cụ tìm kiếm.
- Phân tích hiệu năng và footprint: cung cấp thêm tín hiệu về tốc độ, tài nguyên và tác động carbon.
- Tổng hợp thành dashboard: thay vì bạn phải chạy nhiều lệnh riêng,
web-checkhiển thị kết quả tập trung, dễ đọc.
🆚 Khi nào nên dùng / không nên
Nên dùng web-check khi:
- Bạn cần kiểm tra nhanh một website từ góc nhìn công khai.
- Bạn muốn có cái nhìn tổng quan trước khi audit sâu hơn.
- Bạn đang debug lỗi DNS, SSL/TLS, redirect, headers hoặc cookies.
- Bạn muốn một dashboard trực quan thay vì nhiều công cụ dòng lệnh riêng lẻ.
Không nên dùng web-check khi:
- Bạn cần quét lỗ hổng chuyên sâu như Burp Suite, OWASP ZAP, Nuclei hoặc Nessus.
- Bạn muốn kiểm thử đăng nhập, business logic, API nội bộ hoặc các luồng cần tài khoản.
- Bạn cần kết luận bảo mật tuyệt đối.
web-checkrất tốt cho bước quan sát ban đầu, nhưng không thay thế được kiểm thử bảo mật đầy đủ. - Bạn muốn kiểm tra tài nguyên không công khai hoặc nằm sau VPN/firewall.
So sánh ngắn:
web-check: tốt cho tổng quan nhanh, trực quan, nhiều lớp thông tin công khai.dig,nslookup,curl,openssl: mạnh nhưng rời rạc, cần biết lệnh.- Burp Suite / OWASP ZAP: mạnh cho kiểm thử bảo mật sâu, nhưng nặng hơn và cần nhiều kiến thức hơn.
🚀 Bắt đầu nhanh
Cách nhanh nhất là dùng bản demo có sẵn:
https://web-check.as93.net
Nhập domain bạn muốn kiểm tra, ví dụ:
example.com
Nếu muốn tự chạy trên máy bằng Docker:
docker run -p 3000:3000 lissy93/web-check
Sau đó mở trình duyệt:
http://localhost:3000
Ví dụ kiểm tra tối thiểu:
1. Mở http://localhost:3000
2. Nhập example.com
3. Xem dashboard kết quả: DNS, SSL/TLS, headers, cookies, IP info, trackers...
Nếu muốn chạy từ source code:
git clone https://github.com/lissy93/web-check.git
cd web-check
yarn install
yarn dev
Sau đó mở địa chỉ local mà terminal hiển thị, thường là:
http://localhost:3000
✅ Điểm mạnh & ⚠️ Hạn chế
✅ Điểm mạnh:
- Giao diện trực quan, dễ dùng cho người mới.
- Gom nhiều loại kiểm tra web vào một dashboard.
- Hữu ích cho audit nhanh, troubleshooting và security review ban đầu.
- Mã nguồn mở, có thể tự host.
- Có bản demo online để thử ngay.
- Bao phủ nhiều mảng quan trọng: DNS, SSL/TLS, headers, cookies, tracker, hosting, redirect, robots.txt, hiệu năng.
⚠️ Hạn chế:
- Chủ yếu phân tích thông tin công khai, không thay thế kiểm thử bảo mật chuyên sâu.
- Kết quả phụ thuộc vào dữ liệu có thể truy cập từ bên ngoài.
- Một số website có cơ chế chặn bot, CDN hoặc firewall có thể làm kết quả thiếu chính xác.
- Không phải công cụ khai thác lỗ hổng; nó giúp bạn quan sát và phát hiện tín hiệu ban đầu.
- Với hệ thống lớn, vẫn cần kết hợp thêm công cụ chuyên dụng và đánh giá thủ công.