Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Verificador de transparência de sites

Uma ferramenta afirma que seus dados «ficam no seu navegador» — será verdade? Informe uma URL para descobrir, por meio de análise estática, para onde a página poderia enviar dados: origens externas, rastreadores e formulários. Pistas, não um veredito.

O servidor deste site busca a URL de destino uma única vez e a analisa estaticamente (apenas a URL que você informa é enviada, não o seu código nem a sua entrada). O acesso a endereços internos / privados está bloqueado.
Testar um exemplo (analisar este próprio site)

Como verificar de verdade (DevTools)

  1. 1Abra a página e então abra o DevTools com F12 (ou clique com o botão direito → Inspecionar).
  2. 2Abra a aba «Network» e certifique-se de que está gravando.
  3. 3Use a ferramenta de verdade e observe se novas solicitações (Fetch/XHR/WS) vão para domínios externos.
  4. 4Se não houver envios externos, a página é do lado do cliente para essa ação.

SSRF

Como usar

  1. 1

    Cole a URL de uma ferramenta que afirma funcionar somente no navegador.

  2. 2

    Ela analisa estaticamente os destinos externos, os rastreadores, os formulários externos e o código de envio dessa página.

  3. 3

    Os resultados são pistas. Faça a verificação final na aba Network do seu DevTools (abaixo).

Por que importa

Se uma ferramenta «de privacidade» é mesmo privada não pode ser totalmente provado de fora (o CORS do navegador oculta o comportamento em tempo de execução de outros sites, e a análise estática não pode mostrar a ausência de um envio). Por isso esta ferramenta não emite um veredito: ela descobre por onde os dados poderiam fluir e te entrega o método de verificação real (DevTools). Este site não é exceção: analise-o e você verá tags de anúncios/analytics; não escondê-las é o honesto.

Perguntas frequentes

Q«Zero destinos externos» significa que é seguro?
A

Não. A análise estática deixa passar os envios ofuscados, dinâmicos ou ao clicar. Zero significa «não encontrado estaticamente», não uma prova. A verificação segura é a aba Network do seu DevTools.

QPor que não dá para fazer só no navegador (sem servidor)?
A

O CORS do navegador impede que uma página observe as solicitações em tempo de execução de outra origem, então a URL de destino é buscada e analisada no lado do servidor (apenas a URL é enviada).

QTudo bem verificar o site de outra pessoa?
A

A ferramenta busca a página de destino uma vez e a analisa estaticamente: sem varredura ativa nem ataque (o mesmo escopo de abri-la em um navegador). Endereços internos/privados estão bloqueados.

Páginas relacionadas