我写了一个免费的安全检测工具，3分钟出报告

上个月帮一个本地客户做网站安全评估，对方问了一个让我愣住的问题：

确实，中小企业做安全检测的门槛太高了。要么花几万块请安全公司上门，要么自己学nmap、whatweb、nikto这些工具，折腾半天还看不懂结果。

所以我把这些工具串起来，写了一个网页版的安全检测工具。

它能做什么？

输入网址，选个套餐，3分钟后拿到一份完整的安全报告：

• 基础体检（免费） — 端口扫描 + Web技术识别 + 安全响应头检测。适合日常快速自查。
• 专业检测（¥19/次） — 上面全部 + Nikto漏洞扫描 + 目录枚举。适合正式上线前检查。
• 企业渗透（¥98/次） — 上面全部 + SQL注入检测 + 弱口令检测 + 完整报告。适合等保测评前的自检。

报告长这样（已脱敏）：

🛡️ 慧康安全检测报告
━━━━━━━━━━━━━━━━━━━━
风险等级: 🟢 低

检测目标: example.com
开放端口: 80, 443 (仅2个端口，攻击面小)
Web服务: nginx + Apache
安全头: X-Frame-Options ✅ / XSS-Protection ✅

每项检测都有原始数据，安全人员可以直接用。

每项检测到底查什么？

很多人只知道"做安全检测"这个说法，但具体查什么、怎么查、结果怎么看，并不清楚。这里展开说一下：

端口扫描

用nmap扫描目标服务器所有暴露在公网的端口。默认扫描Top 1000端口，专业版全端口（1-65535）。结果会告诉你哪些端口是开放状态、运行什么服务。常见风险：Redis（6379）、MongoDB（27017）、MySQL（3306）等数据库端口暴露在公网，配置不当可直接被入侵。

Web指纹识别

用whatweb检测目标网站用的是什么技术栈——Web服务器（nginx/Apache/IIS）、后端语言（PHP/Python/Java）、前端框架（Vue/React）、CMS系统（WordPress/织梦）等。知道了技术栈，就能针对性地找已知漏洞。比如你用的nginx版本有CVE，报告会直接标出来。

安全响应头检测

检查网站有没有配置关键安全HTTP头。很多网站连最基本的防护都没有：

• X-Frame-Options — 防止你的网页被嵌入到别人的iframe里做点击劫持
• X-XSS-Protection — 浏览器自带的XSS过滤
• X-Content-Type-Options — 防止MIME类型嗅探攻击
• Content-Security-Policy — 最强大的前端安全防护，控制哪些资源可以加载
• Strict-Transport-Security — 强制浏览器只走HTTPS

实测超过70%的中小企业网站安全头配置不完整。缺一个头，就多一个攻击面。

漏洞扫描

Nikto是目前最成熟的Web漏洞扫描器之一，内置7000+条检测规则，覆盖：文件包含、命令执行、SQL注入、XSS、目录遍历、敏感文件泄露等。它还会检查目标服务器是否存在已知CVE漏洞，比如Struts2、Log4j等影响面大的历史漏洞。

目录枚举

用gobuster爆破目标网站的目录结构，找出隐藏的后台地址、备份文件、敏感路径。常见发现：

• /admin/ 后台登录页暴露 — 没有IP白名单限制
• /backup/ 数据库备份文件可下载 — 严重数据泄露
• /.git/ 源码仓库暴露 — 源代码直接被人看光
• /phpmyadmin/ 数据库管理工具暴露 — 可直接尝试登录

SQL注入检测

sqlmap自动检测常见的注入点。一旦发现有SQL注入漏洞，攻击者不仅能拖库（窃取所有数据），还能通过into outfile写入webshell，直接拿下服务器权限。2025年某地政务系统被攻击的案例，入口就是一处SQL注入。

弱口令检测

hydra对常见服务（SSH、FTP、MySQL、RDP等）进行弱口令试探。用的是最常被攻击者使用的TOP 20弱口令字典，2线程、5秒间隔、找到即停——保证不会把账户锁死。中小企业最常出现的弱口令：admin/123456、root/root、test/test。

后台是怎么跑的？

后端用FastAPI搭建，扫描引擎直接调系统工具。所有工具装在Docker容器里，每次扫描在独立的临时环境中运行，扫完自动销毁，不留痕迹。

串联流程：

子域名收集 (sublist3r) → 端口扫描 (nmap)
  → Web指纹 (whatweb) → 漏洞扫描 (nikto)
  → 目录枚举 (gobuster) → SQL注入 (sqlmap)
  → 弱口令检测 (hydra) → AI分析 → 生成报告

每个步骤都有超时控制，不会因为某个扫描卡住就死等。全部跑完后，AI把原始数据整理成结构化的中文报告，非技术人员也能看懂。

实际案例：我们扫到了什么？

工具上线后，先扫了身边几个朋友的网站，结果触目惊心：

案例一：某本地餐饮连锁点餐系统

点餐后台暴露在公网，/admin路径没有IP白名单，后台账号admin、密码123456。直接登录后可以看到所有门店的实时订单、会员信息、甚至支付接口配置。如果被黑，整个连锁体系的营收都会受影响。

案例二：某教育机构官网

表面看起来正常的企业官网，nikto扫出存在phpMyAdmin未授权访问，phpMyAdmin版本是5年前的，已知CVE可直接利用。攻击者进入后可以管理整个数据库，学生报名信息、家长联系方式全部暴露。

案例三：某制造企业ERP系统

ERP系统8080端口对外开放，使用的是Tomcat默认配置，Manager后台未做访问控制。攻击者可以利用Tomcat Manager的PUT方法上传webshell，拿下服务器权限后横向渗透内网。整个生产网络都有风险。

这三个案例有一个共同点：所有者都不知道自己的系统存在这些漏洞。不是他们不重视安全，而是不知道从何查起。

为什么选择做成网页版？

一开始写的是命令行版本。但给客户演示的时候发现问题了——对着黑乎乎的终端窗口念报告，客户一脸茫然。改成网页版之后：

• 输入网址 → 点一下 → 等3分钟 → 拿到报告
• 报告有风险等级、有截图、有建议修复方案
• 非技术人员也能看懂「我的网站哪里有问题」
• 技术人员可以直接下载原始数据做进一步分析

网页版用FastAPI提供API，前端纯静态HTML+JS，轻量无依赖。部署在一台2核4G的云服务器上，同时跑10个扫描任务没问题。

初衷很简单

我是做网络安全服务的，公司叫西宁惠康电子，在青海做了多年政企安全。很多小客户、供应商、合作伙伴找到我们，说想做安全检测但预算不够请大公司。

以前没太在意这块需求，直到上个月给一个开餐饮连锁的老乡做了一次免费扫描——扫出他家点餐系统的后台暴露在公网，弱口令直接可以登录。

帮他修完之后，他问了一句：这个工具能挂网上让我自己扫不？

所以我就挂出来了。

免费版不限次数，专业版和企业版覆盖深度检测的成本。邮件通知功能也写好了，填个邮箱报告自动发过去。

几点建议给中小企业

如果你的网站或业务系统部署在外网，不一定需要马上花钱请安全公司，但至少可以做这几件事：

1. 先扫一次 — 用这个工具免费版扫一下，知道自己的攻击面有多大。很多问题你不知道，不代表攻击者不知道。
2. 关掉不必要的端口 — 数据库、管理后台、远程桌面这些服务，如果不是必须从外网访问，就关掉或加IP白名单。减少攻击面是最有效的安全措施。
3. 配置安全头 — 加几个HTTP头不花一分钱，但能挡住90%的常见前端攻击。如果不知道怎么配，网上搜"安全响应头配置"有一堆教程。
4. 改掉默认密码 — 这个听起来很基础，但实测70%以上的弱口令问题都是默认密码没改。admin/admin、root/root这种组合，攻击者第一个试的就是它。
5. 定期复查 — 安全不是一次性的事。业务系统在迭代，漏洞库在更新，每个月扫一次不过分。

一点感受

AI时代做安全检测最大的变化是：以前一个安全工程师一天只能测3-5个站，现在工具自己跑，一个人一天能测几十上百个。成本降下来，才能服务更多中小企业。

说实话，这个工具技术含量不高——就是把这些成熟的开源工具串起来，加了个网页界面和自动化报告。但真正解决问题的不一定是新技术，而是把已有的能力包装到能让普通人用起来。

如果你有网站或业务系统在外网，不妨花3分钟扫一下。免费的，不吃亏。

地址：http://43.163.117.21:5081

有什么问题直接留言，或者联系 lcl@xnhkdz.com。