ツールは入力されたURLにサーバー側からHTTP GETリクエストを送り、レスポンスヘッダーとHTMLソースコードをパターンマッチングで分析します。特定の技術に関連する既知のシグネチャ――スクリプトパス、metaタグ、CSSクラス、レスポンスヘッダーの値――を検索します。
当ツールはヘッダーとHTMLのパターンマッチングという類似の原理を使用していますが、ブラウザ拡張機能を必要とせずサーバー側で動作します。BuiltWithとWappalyzerは長年かけて構築された大規模なシグネチャデータベースを持っています。当ツールは最も広く使用されている技術に焦点を当てており、アカウント不要で完全無料です。
検出は観測可能なシグナルに依存しています:HTTPヘッダーとHTMLパターン。一部の技術は運営者によって意図的に隠されています(カスタムサーバーヘッダー、識別可能なパスのない最小化されたスクリプト)、またはオリジンサーバーを隠蔽するCDN層を使用しています。技術が検出可能なフィンガープリントを残さない場合、結果に表示されません。
ツールはJavaScriptを実行せず、認証もせずに初期HTMLレスポンスを取得します。静的HTMLやヘッダーに現れる技術は引き続き検出できます。サーバー側で何もレンダリングしないJavaScript主体のSPAは表示されるシグナルが少なくなります。ログイン保護されたページはログインページの技術スタックのみが表示されます。
ツールは説明的なUser-Agentヘッダー('TechStackBot/1.0')を付けた標準的なHTTP GETリクエストを送信します。対象サーバーのアクセスログには他のボットリクエストと同様に記録されます。ステルススキャンは行いません。
いいえ。サーバーサイドリクエストフォージェリ(SSRF)を防ぐため、ツールはlocalhost、127.x、10.x、192.168.x、172.16〜31.xおよびその他のプライベートアドレス範囲へのリクエストをブロックします。公開アクセス可能なURLのみ受け付けます。
標準的なフィンガープリントを公開しているサイトに対しては精度が高いです。WordPressサイト、Next.jsアプリ、Cloudflareプロキシサイト、Nginxサーバーは確実に検出されます。カスタムまたは難読化されたセットアップは識別が困難です。結果は保証ではなく強力な指標として扱ってください。
検出器は9カテゴリにわたる44技術をカバーしています:CMS(WordPress、Shopify、Wix、Squarespace、Blogger、Ghost、Webflow、Drupal、Joomla)、JavaScriptフレームワーク(Next.js、Nuxt.js、React、Vue.js、Angular、Svelte)、JavaScriptライブラリ(jQuery、Alpine.js、GSAP、Three.js、Chart.js)、UIフレームワーク(Bootstrap、Tailwind CSS、Bulma、Foundation、Material UI)、アナリティクス(Google Analytics、Google Tag Manager、Hotjar、Mixpanel)、フォント&スクリプト(Google Fonts、Adobe Fonts)、CDN / ホスティング(Cloudflare、CloudFront、BunnyCDN、jsDelivr、Fastly、Vercel)、サーバー / ランタイム(Nginx、Apache、IIS)、プログラミング言語(PHP、Node.js、Python、Ruby、Java、ASP.NET)。
いいえ。URLはリクエスト中にリアルタイムで取得・分析されます。レスポンス送信後、URLも検出結果も保存されません。
はい。多くの開発者がこのツールを使って、スタックが意図せず技術のフィンガープリントを公開していないかを確認しています――たとえば、X-Powered-Byヘッダーが抑制されているか、CDNがCloudflareとして正しく検出されているかを確認するために使用します。