🔬 Nghiên cứu 🌱 Mới trồng 14 tháng 7, 2026 Trồng 14 thg 7

lissy93/web-check

📦 lissy93/web-check ⭐ 34k Mở trên GitHub ↗

web-check là công cụ OSINT web all-in-one để phân tích website qua nhiều lớp như DNS, SSL/TLS, headers, cookies, tracker, hosting, CMS và tín hiệu bảo mật/quyền riêng tư. Phù hợp cho kiểm tra nhanh bề…

Kết luận: partial · Công nghệ: osint · web-security · privacy · site-audit · typescript

web-checkcông cụ OSINT web all-in-one để phân tích website qua nhiều lớp như DNS, SSL/TLS, headers, cookies, tracker, hosting, CMS và tín hiệu bảo mật/quyền riêng tư. Phù hợp cho kiểm tra nhanh bề mặt công khai của domain/app web, đặc biệt hữu ích cho audit, troubleshooting và security review ở mức reconnaissance.

📖 Giới thiệu chi tiết

🧩 Nó là gì?

lissy93/web-check là một công cụ OSINT web all-in-one giúp bạn “soi” một website từ bên ngoài: DNS, SSL/TLS, headers, cookies, hosting, tracker, hiệu năng, bảo mật và nhiều thông tin công khai khác.

Nói đơn giản: bạn nhập một domain, web-check sẽ gom nhiều dữ liệu quan trọng về website đó vào một dashboard dễ xem.

🎯 Giải quyết vấn đề gì? Dành cho ai?

Khi kiểm tra một website, bạn thường phải dùng nhiều công cụ rời rạc để xem:

  • Domain đang trỏ về IP nào?
  • Website dùng chứng chỉ SSL/TLS có ổn không?
  • Server trả về những HTTP headers gì?
  • Có cookies/tracker nào đang hoạt động?
  • Website dùng hosting, công nghệ, CMS hoặc dịch vụ nào?
  • Có dấu hiệu cấu hình bảo mật chưa tốt không?

web-check gom các bước này lại thành một nơi duy nhất.

Dự án phù hợp cho:

  • Người mới học web/security muốn hiểu “bên trong” một website hoạt động ra sao.
  • Developer muốn kiểm tra nhanh website mình đang làm.
  • DevOps/SRE cần troubleshooting domain, DNS, SSL/TLS, redirect, headers.
  • Security engineer hoặc pentester dùng cho bước reconnaissance — tức là thu thập thông tin công khai ban đầu trước khi đánh giá bảo mật sâu hơn.
  • Chủ website muốn xem website của mình đang lộ những thông tin gì ra bên ngoài.

⚙️ Hoạt động ra sao?

web-check nhận vào một website/domain, sau đó chạy nhiều bước kiểm tra độc lập và hiển thị kết quả trên dashboard.

Các cơ chế chính:

  • Tra DNS records: xem domain có các bản ghi như A, AAAA, MX, NS, TXT, CNAME không. DNS là “sổ địa chỉ” giúp trình duyệt biết domain trỏ tới máy chủ nào.
  • Kiểm tra IP & hosting: xác định IP, vị trí máy chủ, nhà cung cấp hosting hoặc hạ tầng liên quan.
  • Phân tích SSL/TLS: xem chứng chỉ HTTPS do ai cấp, còn hạn không, chuỗi chứng chỉ có hợp lệ không.
  • Đọc HTTP headers: kiểm tra thông tin server gửi về, ví dụ cache, content type, security headers.
  • Xem cookies: phát hiện cookies website đặt trên trình duyệt, bao gồm cookies phiên đăng nhập hoặc tracking.
  • Kiểm tra redirect: theo dõi website có chuyển hướng từ URL này sang URL khác không.
  • Phát hiện tracker: tìm dấu hiệu của analytics, quảng cáo hoặc công cụ theo dõi người dùng.
  • Xem robots.txt / crawl rules: kiểm tra quy tắc dành cho bot/công cụ tìm kiếm.
  • Phân tích hiệu năng và footprint: cung cấp thêm tín hiệu về tốc độ, tài nguyên và tác động carbon.
  • Tổng hợp thành dashboard: thay vì bạn phải chạy nhiều lệnh riêng, web-check hiển thị kết quả tập trung, dễ đọc.

🆚 Khi nào nên dùng / không nên

Nên dùng web-check khi:

  • Bạn cần kiểm tra nhanh một website từ góc nhìn công khai.
  • Bạn muốn có cái nhìn tổng quan trước khi audit sâu hơn.
  • Bạn đang debug lỗi DNS, SSL/TLS, redirect, headers hoặc cookies.
  • Bạn muốn một dashboard trực quan thay vì nhiều công cụ dòng lệnh riêng lẻ.

Không nên dùng web-check khi:

  • Bạn cần quét lỗ hổng chuyên sâu như Burp Suite, OWASP ZAP, Nuclei hoặc Nessus.
  • Bạn muốn kiểm thử đăng nhập, business logic, API nội bộ hoặc các luồng cần tài khoản.
  • Bạn cần kết luận bảo mật tuyệt đối. web-check rất tốt cho bước quan sát ban đầu, nhưng không thay thế được kiểm thử bảo mật đầy đủ.
  • Bạn muốn kiểm tra tài nguyên không công khai hoặc nằm sau VPN/firewall.

So sánh ngắn:

  • web-check: tốt cho tổng quan nhanh, trực quan, nhiều lớp thông tin công khai.
  • dig, nslookup, curl, openssl: mạnh nhưng rời rạc, cần biết lệnh.
  • Burp Suite / OWASP ZAP: mạnh cho kiểm thử bảo mật sâu, nhưng nặng hơn và cần nhiều kiến thức hơn.

🚀 Bắt đầu nhanh

Cách nhanh nhất là dùng bản demo có sẵn:

https://web-check.as93.net

Nhập domain bạn muốn kiểm tra, ví dụ:

example.com

Nếu muốn tự chạy trên máy bằng Docker:

docker run -p 3000:3000 lissy93/web-check

Sau đó mở trình duyệt:

http://localhost:3000

Ví dụ kiểm tra tối thiểu:

1. Mở http://localhost:3000
2. Nhập example.com
3. Xem dashboard kết quả: DNS, SSL/TLS, headers, cookies, IP info, trackers...

Nếu muốn chạy từ source code:

git clone https://github.com/lissy93/web-check.git
cd web-check
yarn install
yarn dev

Sau đó mở địa chỉ local mà terminal hiển thị, thường là:

http://localhost:3000

✅ Điểm mạnh & ⚠️ Hạn chế

✅ Điểm mạnh:

  • Giao diện trực quan, dễ dùng cho người mới.
  • Gom nhiều loại kiểm tra web vào một dashboard.
  • Hữu ích cho audit nhanh, troubleshooting và security review ban đầu.
  • Mã nguồn mở, có thể tự host.
  • Có bản demo online để thử ngay.
  • Bao phủ nhiều mảng quan trọng: DNS, SSL/TLS, headers, cookies, tracker, hosting, redirect, robots.txt, hiệu năng.

⚠️ Hạn chế:

  • Chủ yếu phân tích thông tin công khai, không thay thế kiểm thử bảo mật chuyên sâu.
  • Kết quả phụ thuộc vào dữ liệu có thể truy cập từ bên ngoài.
  • Một số website có cơ chế chặn bot, CDN hoặc firewall có thể làm kết quả thiếu chính xác.
  • Không phải công cụ khai thác lỗ hổng; nó giúp bạn quan sát và phát hiện tín hiệu ban đầu.
  • Với hệ thống lớn, vẫn cần kết hợp thêm công cụ chuyên dụng và đánh giá thủ công.