Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Auditoria de segurança do site

Uma auditoria completa do seu próprio site (com propriedade verificada): exposição de segredos (.env/.git/dumps de BD), certificado TLS, cabeçalhos HTTP de segurança, fraquezas de CSP e erros de configuração de CORS, atributos de cookies, autenticação de e-mail (SPF/DKIM/DMARC) e CAA, além da correlação dos produtos expostos com o nosso catálogo CISA KEV (explorados ativamente). Um relatório com nota, correções e um prompt de IA.

O servidor deste site busca o site de destino de forma passiva (sem ataques nem varredura exploratória). Por segurança, você só pode auditar um domínio cuja propriedade tenha verificado. Endereços internos/privados estão bloqueados.
Testar um exemplo (auditar este próprio site, itdef.net)

Como usar

  1. 1

    Informe o domínio do seu próprio site

    ex.: example.com. Você não pode auditar o site de outra pessoa — a verificação de propriedade é exigida.

  2. 2

    Verifique a propriedade (qualquer uma das três formas)

    Coloque o token mostrado via ①uma metatag (o mais fácil — basta colar no <head> da sua página inicial), ②um registro DNS TXT ou ③um arquivo (download em um clique → coloque-o em /.well-known/). A auditoria não começará até que seja verificada.

  3. 3

    Toque em «Verificar propriedade e auditar» para a verificação completa

    Ela verifica a exposição de segredos (.env/.git/dumps de BD), o certificado TLS, os cabeçalhos, CSP/CORS, os cookies, a autenticação de e-mail e a correlação com o KEV (CVEs explorados ativamente), e mostra uma nota geral de A a F.

  4. 4

    Corrija de vermelho para âmbar

    Cada item mostra por que é arriscado e como corrigi-lo. Um prompt de IA para copiar e colar está incluído — cole-o no ChatGPT / Claude para obter passos adaptados à sua stack.

  5. 5

    (Opcional) inscreva-se no monitoramento gratuito

    Adicione seu e-mail para ser notificado somente quando a postura piorar. Não começará até você clicar no link de confirmação, e você pode cancelar a inscrição quando quiser.

Por que importa

A primeira coisa que esta ferramenta procura é um .env, .git ou dump de BD acidentalmente público deixado em um diretório acessível pela web — exatamente o acidente que deu origem a este site. Além disso, ela agrupa o certificado TLS, os cabeçalhos, os atributos de cookies, a autenticação de e-mail e a divulgação de versão em um único «check-up» do seu próprio site com propriedade verificada. A verificação de propriedade é exigida para que isto nunca se torne uma «ferramenta de ataque» voltada contra outros.

Perguntas frequentes

QPor que a verificação de propriedade é exigida?
A

Verificar se arquivos sensíveis são públicos poderia ser reconhecimento se direcionado ao site de outra pessoa. Só auditamos depois que você prova que o domínio é seu (DNS TXT ou um arquivo), o que impede estruturalmente a varredura por terceiros.

QA auditoria sobrecarrega muito o meu site?
A

Não. Ela busca de forma passiva um pequeno conjunto fixo de caminhos uma vez cada — sem fuzzing, sem ataques. É como a carga de abrir algumas páginas em um navegador.

QSe a nota for alta, estou completamente seguro?
A

Não. Ela verifica itens representativos de alto sinal, não todos os riscos possíveis. Não confie demais em um resultado verde; combine-o com mínima exposição/mínimo privilégio e verificações contínuas das dependências (scanner OSV), dos cabeçalhos e da autenticação de e-mail.

Páginas relacionadas