WebSecScan：AI驱动的网站安全审计工具

该n8n工作流通过利用OpenAI模型检测漏洞、配置问题和安全错误配置，提供全面的网站安全分析。工作流会生成一份专业的HTML安全报告，并通过Gmail直接发送。

核心功能

• 双层安全分析： 使用专门的OpenAI代理并行执行安全审计：

  • 头部配置审计：分析HTTP头部、CORS策略、CSP实现和Cookie安全性
  • 漏洞评估：识别XSS攻击向量、信息泄露和客户端弱点

• 详细安全评级： 根据发现问题的严重程度和数量自动计算安全等级（A+到F）

• 专业报告生成： 创建包含以下内容的完整HTML报告：

  • 安全等级可视化
  • 按颜色标记的漏洞分类
  • 附带示例配置修复的详细建议
  • 头部存在/缺失指示器
  • 修复实施指南

• 非侵入式测试： 无需主动扫描或攻击尝试即可完成分析

技术实现

• 多代理架构： 使用两个专门定制的OpenAI代理进行安全分析

• 高级头部分析： 检测关键安全头部的存在及正确实现：

  • 内容安全策略
  • 严格传输安全
  • X-内容类型选项
  • X-框架选项
  • 引用策略
  • 权限策略

• 智能问题检测： 使用JavaScript处理OpenAI输出并统计关键/警告问题

• 响应式HTML报告： 动态生成适配移动设备的报告，包含详细发现和建议

配置要求

1. OpenAI API配置

1. 在platform.openai.com创建OpenAI API密钥
2. 在n8n中进入设置 → 凭证 → 新建 → OpenAI API
3. 输入API密钥并保存

2. Gmail集成

1. 导航至设置 → 凭证 → 新建 → Gmail OAuth2 API
2. 完成OAuth认证流程
3. 在”发送安全报告”节点配置收件邮箱

3. 工作流定制（可选）

• 在落地页节点修改表单标题/描述
• 从gpt-4o-mini升级到gpt-4o以获得更全面分析
• 为邮件报告添加更多收件人

使用说明

1. 激活工作流并通过生成的URL访问表单
2. 输入要分析的网站URL（包含http://或https://前缀）
3. 几分钟内通过邮件接收详细安全报告
4. 与开发团队分享发现以实施修复

本工作流代表一种非侵入式安全评估工具。生产环境中建议配合专业渗透测试服务使用。