Auditoria de segurança do site

Uma auditoria completa do seu próprio site (com propriedade verificada): exposição de segredos (.env/.git/dumps de BD), certificado TLS, cabeçalhos HTTP de segurança, fraquezas de CSP e erros de configuração de CORS, atributos de cookies, autenticação de e-mail (SPF/DKIM/DMARC) e CAA, além da correlação dos produtos expostos com o nosso catálogo CISA KEV (explorados ativamente). Um relatório com nota, correções e um prompt de IA.

O servidor deste site busca o site de destino de forma passiva (sem ataques nem varredura exploratória). Por segurança, você só pode auditar um domínio cuja propriedade tenha verificado. Endereços internos/privados estão bloqueados.

Testar um exemplo (auditar este próprio site, itdef.net)

Nota geral

89 / 100

https://itdef.net/ja · Propriedade verificada via arquivo

Arquivos sensíveis expostos

Nenhum dos 24 caminhos/diretórios sensíveis verificados era de leitura pública.

Certificado TLS

O certificado é válido (faltam 68 dias).

Emissor: Let's Encrypt
Protocolo: TLSv1.3
Suíte de cifras: TLS_AES_128_GCM_SHA256
Expira: Sep 5 07:14:55 2026 GMT

Transporte (HTTPS)

Acessível por HTTPS.
http redireciona para HTTPS.
HSTS está habilitado.

Cabeçalhos de segurança

Nota B (86/100). Itens ausentes/fracos: 1.

Detalhes na Verificação de cabeçalhos de segurança →

Força do CSP (Content-Security-Policy)

'unsafe-inline' (permite JS inline — enfraquece gravemente a proteção contra XSS; migre para nonce/hash)

Reconstruí-lo com o Construtor de CSP →

CORS (compartilhamento de recursos entre origens)

Nenhum reflexo de origem CORS perigoso observado.

Atributos de segurança de cookies

Todos os cookies têm Secure / HttpOnly / SameSite.

Autenticação de e-mail (anti-spoofing)

spf — OK
dkim — OK
dmarc — Fraco

Detalhes no Verificador de SPF/DKIM/DMARC →

Divulgação de versão

Nenhuma string de versão de servidor/framework está exposta de forma destacada.

Sem CAA (opcional, mas o CAA permite limitar quais CAs podem emitir).

Sem security.txt (opcional, mas um contato em /.well-known/security.txt é útil).

Prompt de remediação para IA (copiar e colar)

Cole no Claude / ChatGPT para correções concretas para a sua stack.

Você é um especialista em segurança web. Uma auditoria do meu próprio site (itdef.net) encontrou os problemas abaixo. Somente para fins defensivos/de remediação, diga-me como corrigir cada um com segurança na minha stack (nginx / Apache / Caddy / nuvem, etc.) com comandos/configuração concretos. Pergunte se algo não estiver claro e diga-me como verificar as correções depois.

- Cabeçalhos de segurança: content-security-policy
- Força do CSP (Content-Security-Policy): unsafe-inline
- Autenticação de e-mail (anti-spoofing): DMARC weak

Nota: mantenha intacto o comportamento existente que funciona. Não são necessárias técnicas de ataque nem bypass.

Monitorar este site (grátis)

Adicione seu e-mail e reauditaremos este site periodicamente, enviando um e-mail somente quando sua postura piorar (uma nova correspondência com o KEV, uma queda de nota ou um certificado prestes a expirar). Começa apenas depois que você clicar no link de confirmação (anti-spam). Cancele a inscrição quando quiser.

Como usar

1
Informe o domínio do seu próprio site
ex.: example.com. Você não pode auditar o site de outra pessoa — a verificação de propriedade é exigida.
2
Verifique a propriedade (qualquer uma das três formas)
Coloque o token mostrado via ①uma metatag (o mais fácil — basta colar no <head> da sua página inicial), ②um registro DNS TXT ou ③um arquivo (download em um clique → coloque-o em /.well-known/). A auditoria não começará até que seja verificada.
3
Toque em «Verificar propriedade e auditar» para a verificação completa
Ela verifica a exposição de segredos (.env/.git/dumps de BD), o certificado TLS, os cabeçalhos, CSP/CORS, os cookies, a autenticação de e-mail e a correlação com o KEV (CVEs explorados ativamente), e mostra uma nota geral de A a F.
4
Corrija de vermelho para âmbar
Cada item mostra por que é arriscado e como corrigi-lo. Um prompt de IA para copiar e colar está incluído — cole-o no ChatGPT / Claude para obter passos adaptados à sua stack.
5
(Opcional) inscreva-se no monitoramento gratuito
Adicione seu e-mail para ser notificado somente quando a postura piorar. Não começará até você clicar no link de confirmação, e você pode cancelar a inscrição quando quiser.

Por que importa

A primeira coisa que esta ferramenta procura é um .env, .git ou dump de BD acidentalmente público deixado em um diretório acessível pela web — exatamente o acidente que deu origem a este site. Além disso, ela agrupa o certificado TLS, os cabeçalhos, os atributos de cookies, a autenticação de e-mail e a divulgação de versão em um único «check-up» do seu próprio site com propriedade verificada. A verificação de propriedade é exigida para que isto nunca se torne uma «ferramenta de ataque» voltada contra outros.

Perguntas frequentes

QPor que a verificação de propriedade é exigida?

Verificar se arquivos sensíveis são públicos poderia ser reconhecimento se direcionado ao site de outra pessoa. Só auditamos depois que você prova que o domínio é seu (DNS TXT ou um arquivo), o que impede estruturalmente a varredura por terceiros.

QA auditoria sobrecarrega muito o meu site?

Não. Ela busca de forma passiva um pequeno conjunto fixo de caminhos uma vez cada — sem fuzzing, sem ataques. É como a carga de abrir algumas páginas em um navegador.

QSe a nota for alta, estou completamente seguro?

Não. Ela verifica itens representativos de alto sinal, não todos os riscos possíveis. Não confie demais em um resultado verde; combine-o com mínima exposição/mínimo privilégio e verificações contínuas das dependências (scanner OSV), dos cabeçalhos e da autenticação de e-mail.