Saltar al contenido
>_ITDITDPlataforma de seguridad web

Auditoría de seguridad del sitio

Una auditoría completa de tu propio sitio (con propiedad verificada): exposición de secretos (.env/.git/volcados de BD), certificado TLS, encabezados HTTP de seguridad, debilidades de CSP y errores de configuración de CORS, atributos de cookies, autenticación de correo (SPF/DKIM/DMARC) y CAA, además de la correlación de los productos expuestos con nuestro catálogo CISA KEV (explotados activamente). Un informe con calificación, correcciones y un prompt de IA.

El servidor de este sitio obtiene el sitio de destino de forma pasiva (sin ataques ni escaneo exploratorio). Por seguridad, solo puedes auditar un dominio cuya propiedad hayas verificado. Las direcciones internas/privadas están bloqueadas.
Probar un ejemplo (auditar este mismo sitio, itdef.net)

Cómo usarla

  1. 1

    Introduce el dominio de tu propio sitio

    p. ej. example.com. No puedes auditar el sitio de otra persona: se requiere la verificación de propiedad.

  2. 2

    Verifica la propiedad (cualquiera de las tres formas)

    Coloca el token mostrado mediante ①una metaetiqueta (lo más fácil — solo pégala en el <head> de tu página principal), ②un registro DNS TXT o ③un archivo (descarga de un clic → colócalo en /.well-known/). La auditoría no comenzará hasta que se verifique.

  3. 3

    Pulsa «Verificar propiedad y auditar» para la comprobación completa

    Comprueba la exposición de secretos (.env/.git/volcados de BD), el certificado TLS, los encabezados, CSP/CORS, las cookies, la autenticación de correo y la correlación con KEV (CVE explotados activamente), y muestra una calificación general de A a F.

  4. 4

    Corrige de rojo a ámbar

    Cada elemento muestra por qué es arriesgado y cómo corregirlo. Se incluye un prompt de IA para copiar y pegar: pégalo en ChatGPT / Claude para obtener pasos adaptados a tu stack.

  5. 5

    (Opcional) suscríbete a la monitorización gratuita

    Añade tu correo para recibir avisos solo cuando la postura empeore. No comenzará hasta que hagas clic en el enlace de confirmación, y puedes cancelar la suscripción cuando quieras.

Por qué importa

Lo primero que busca esta herramienta es un .env, .git o volcado de BD accidentalmente público dejado en un directorio accesible desde la web: justo el accidente con el que comenzó este sitio. Además, agrupa el certificado TLS, los encabezados, los atributos de cookies, la autenticación de correo y la divulgación de versión en un único «chequeo» de tu propio sitio con propiedad verificada. La verificación de propiedad es obligatoria para que esto nunca se convierta en una «herramienta de ataque» dirigida a otros.

Preguntas frecuentes

Q¿Por qué se requiere la verificación de propiedad?
A

Comprobar si los archivos sensibles son públicos podría ser reconocimiento si se dirige al sitio de otra persona. Solo auditamos una vez que has demostrado que el dominio es tuyo (DNS TXT o un archivo), lo que estructuralmente impide el escaneo de terceros.

Q¿La auditoría carga mucho mi sitio?
A

No. Obtiene de forma pasiva un pequeño conjunto fijo de rutas una vez cada una — sin fuzzing, sin ataques. Es como la carga de abrir unas pocas páginas en un navegador.

QSi la calificación es alta, ¿estoy completamente a salvo?
A

No. Comprueba elementos representativos de alta señal, no todos los riesgos posibles. No confíes en exceso en un resultado verde; combínalo con mínima exposición/mínimo privilegio y comprobaciones continuas de las dependencias (escáner OSV), los encabezados y la autenticación de correo.

Páginas relacionadas