this-is-securl/securl

# SecURL [](https://www.npmjs.com/package/securl) [](https://www.npmjs.com/package/securl) [](./LICENSE) [](https://github.com/sponsors/ktbatterham) [](https://x.com/ThisIsSecURL) [](https://dev.to/thisissecurl) **静默解读公共 URL 的安全态势。** SecURL 是一款针对公共 URL 和 Web 服务的被动式外部安全态势扫描器。它读取浏览器、客户、审计员或研究人员已经能看到的内容，然后将这些证据转化为清晰的发现、优先操作和可导出的报告。 它专为低噪音审查而设计，涵盖 headers、TLS、cookies、重定向、DNS/电子邮件态势、信任信号、第三方暴露以及公开披露准备情况。 SecURL 不是 URL 缩短工具。它评估的是您选择扫描的 URL 的外部安全态势。

访问 SecURL 网站 · 运行实时扫描 · 下载 iOS 应用 · 使用 npm 包 · 关注 @ThisIsSecURL · 阅读 Dev.to 文章 · 支持该项目

## 试用 如果您想最快地体验产品，请使用托管扫描器： - [securl.online](https://securl.online) — 产品和落地页 - [app.securl.online](https://app.securl.online) — 实时扫描器和报告工作区 - [App Store 上的 SecURL](https://apps.apple.com/app/securl/id6774322464) — iOS 伴侣应用 - [`securl`](https://www.npmjs.com/package/securl) — 可复用的 CLI 和 Node 引擎 在 [@ThisIsSecURL on X](https://x.com/ThisIsSecURL) 和 [Dev.to/thisissecurl](https://dev.to/thisissecurl) 上关注产品说明和实用的态势分析文章。 或者直接运行引擎： ``` npx securl scan example.com ``` ## 为什么选择 SecURL - 被动优先的态势审查，无广泛的侦察噪音 - 清晰的分析师摘要和优先操作 - 针对浏览器侧的加固检查，涵盖 headers、重定向、TLS、cookies 和信任信号 - 通过漂移和历史记录视图进行静默比较 - 高级 PDF、Markdown 和 JSON 输出，适合向利益相关者汇报 简而言之： - Shodan 负责发现事物。 - SecURL 负责静默解读它们。 ## 截图 ### 落地页体验  ### 概览报告  ### 信任和披露详情  ## 检查内容 - Response headers，如 HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP 和 CORP - 重定向链、TLS 证书态势、协议和密码详细信息 - Cookie 标志，包括 `Secure`、`HttpOnly` 和 `SameSite` - 公共信任和披露信号，包括 `security.txt`、HSTS preload 和政策页面发现 - 域名和电子邮件态势，如 MX、SPF、DMARC、CAA、MTA-STS、TLS-RPT 和 BIMI (DNS) - 被动 HTML 信号，包括表单、第三方资产、缺失的 SRI、内联脚本/样式以及轻微的暴露线索 - 技术、提供商和 AI 表面提示，采用保守评分 - 针对 cloud、CDN、edge、PaaS 和托管提供商（Cloudflare、Railway、Render、Fly.io、Hostinger、Bunny.net、OVH、Hetzner 等）的基础设施推断 - 分析和会话重放供应商检测（Google Analytics、Plausible、Matomo、Segment、Mixpanel、Amplitude、Heap、New Relic、Datadog、Hotjar、LogRocket 等） ## 快速开始 ### 在线应用 打开 [app.securl.online](https://app.securl.online) 并扫描公共目标。如果需要先了解产品概述，请访问 [securl.online](https://securl.online)。 更喜欢移动端？安装 [App Store 上的 SecURL](https://apps.apple.com/app/securl/id6774322464)。 ### CLI ``` npx securl scan example.com npx securl scan example.com --format markdown --output report.md npx securl compare current-report.json previous-report.json ``` 全局安装： ``` npm install -g securl securl scan example.com ``` ### 本地开发 ``` npm install npm run dev ``` 这将启动： - 前端位于 `http://localhost:8080` - API 位于 `http://127.0.0.1:8787` ### 生产环境构建 ``` npm run ship ``` `npm run ship` 会运行 `build:hostinger`（将 `VITE_API_BASE_URL` 设置为生产环境 API，然后进行构建），接着运行 `verify` (`scripts/verify-build.mjs`)。每次生产环境部署时请使用此命令 —— 仅运行 `npm run build` 不会设置生产环境 API URL。 要通过 SSH 将静态前端部署到 Hostinger，请先运行 dry-run： ``` npm run deploy:hostinger ``` 如果 dry-run 看起来正常，请部署到生产环境： ``` npm run deploy:hostinger:live ``` 实时部署会创建远程备份，将 `dist/` 同步到 `/home/u765511792/domains/app.securl.online/public_html/`，并对 [app.securl.online](https://app.securl.online) 进行冒烟检查。Railway 仍然仅用于后端/API。 ### 可共享的报告链接 已完成的扫描可通过公共的 `GET /api/scans/:id/share` endpoint 在 `/report/:scanId` 访问。查看共享链接不需要 auth token。 ## 架构 SecURL 现在在以下方面有了清晰的划分： - 静态前端客户端 - Node 后端 API - [`packages/core`](packages/core) 中可复用的 SecURL 包 这使得以下操作变得更加容易： - 将前端与后端分开托管 - 从相同的后端/API 结构支持托管 Web 应用、iOS 伴侣应用、CLI 和未来的客户端 - 保持扫描器逻辑在 CLI 和服务环境中可复用 ## 路线图 ### 近期 - 将高级 PDF 导出优化为更清晰的管理层交付物 - 在新后端资源的基础上深化监控细节和历史视图 - 继续提高报告的清晰度、修复说明和视觉成熟度 ### 产品方向 - 保持实时扫描和技术输出的强大且易于试用 - 明确划分免费工作流价值与高级工作流价值的界限 - 将高级报告、定期监控和更丰富的历史记录视为最可能的商业化基础 - 在服务模型稳定之后，探索共享/团队视图、API 访问和移动伴侣应用访问 ### 暂未支持 - 尚无公开的定价或付费墙 - 在高级体验明显足够强大以证明其合理性之前，不承诺最终的商业套餐 ## 包状态 - 最新发布的包：`securl@1.5.1` - 先前的包名：`@ktbatterham/external-posture-core` 已弃用，推荐使用 `securl` - npm 标签：`latest` - 包信号检查：`npm run package:signals` - 核心发布核对清单：[`packages/core/RELEASING.md`](packages/core/RELEASING.md) ## 文档 如需更深入的运营和架构资料，请直接访问： - [架构视图 (C4)](docs/ARCHITECTURE-C4.md) - [后端 API 拆分托管说明](docs/BACKEND-API.md) - [公共部署核对清单](docs/PUBLIC-DEPLOY-CHECKLIST.md) - [支持 iOS 的后端说明](docs/IOS-CAPABLE-BACKEND.md) - [滥用和警报说明](docs/ABUSE-ALERTING.md) - [包信号跟踪](docs/PACKAGE-SIGNALS.md) - [反向代理验证](docs/REVERSE-PROXY-VERIFICATION.md) - [OWASP/MITRE 自我审查](docs/OWASP-MITRE-SELF-REVIEW.md) ## 安全 请针对您拥有或获得授权评估的系统使用此工具。 SecURL 是被动优先且刻意保守的，但它仍然是一个真正的外部审查工具。它无法证明目标是安全的，也不能替代渗透测试、经过身份验证的审查或更广泛的安全计划。

标签：GNU通用公共许可证, MITM代理, Node.js, 安全态势感知, 安全扫描, 数据可视化, 时序注入, 暗色界面, 自动化攻击