WebSecScan：AI驱动的网站安全审计工具

该n8n工作流通过调用OpenAI模型提供全面的网站安全分析，可检测漏洞、配置问题和安全设置缺陷，并生成专业的HTML格式安全报告直接通过Gmail发送。

核心功能

• 双重安全分析： 使用专业OpenAI代理进行并行安全审计：

  • 头部配置审计：分析HTTP头部、CORS策略、CSP实施和Cookie安全
  • 漏洞评估：识别XSS攻击向量、信息泄露和客户端弱点

• 详细安全评级： 根据发现问题的严重性和数量自动计算安全等级（A+到F）

• 专业报告生成： 创建包含以下内容的完整HTML报告：

  • 安全等级可视化图表
  • 颜色标记的漏洞分类
  • 附带配置修复示例的详细建议
  • 头部存在/缺失指示器
  • 修复实施方案指南

• 非侵入式测试： 无需主动扫描或攻击尝试即可完成分析

技术实现

• 多代理架构： 使用两个专为安全分析定制的OpenAI代理

• 高级头部分析： 检测关键安全头部的存在与正确实施：

  • 内容安全策略
  • 严格传输安全
  • X-内容类型选项
  • X-框架选项
  • 引用策略
  • 权限策略

• 智能问题检测： 通过JavaScript处理分析OpenAI输出并统计关键/警告问题

• 响应式HTML报告： 动态生成适配移动设备的详细报告

配置要求

1. OpenAI API配置

1. 在platform.openai.com创建API密钥
2. 在n8n中进入设置 → 凭证 → 新建 → OpenAI API
3. 输入并保存API密钥

2. Gmail集成

1. 进入设置 → 凭证 → 新建 → Gmail OAuth2 API
2. 完成OAuth认证流程
3. 在”发送安全报告”节点配置收件邮箱

3. 工作流定制（可选）

• 修改落地页节点的表单标题/描述
• 将gpt-4o-mini升级至gpt-4o获得更全面分析
• 添加额外报告接收人

使用说明

1. 激活工作流并通过生成URL访问表单
2. 输入待分析网站URL（需包含http://或https://前缀）
3. 数分钟内通过邮件接收详细安全报告
4. 与开发团队共享发现结果以实施修复

本工作流属于非侵入式安全评估工具。生产环境建议配合专业渗透测试服务使用。