Todas las herramientas
/ auditoría · 03

Security

Análisis de las cabeceras HTTP devueltas por un sitio: seguridad, divulgación de información, caché, tecnologías detectadas.

Análisis

// Introduce una URL para recuperar sus cabeceras HTTP.

Verificaciones

  • HSTS — max-age, preload, subdominios
  • CSP — Content Security Policy, detección unsafe-inline/eval
  • X-Frame-Options — protección clickjacking
  • X-Content-Type-Options — anti MIME sniffing
  • Referrer-Policy — política de Referer
  • Permissions-Policy — restricciones API navegador
  • COOP / COEP / CORP — aislamiento cross-origin
  • Set-Cookie — flags Secure, HttpOnly, SameSite
  • disclosure — Server, X-Powered-By, X-AspNet-Version
  • deprecated — X-XSS-Protection, HPKP, Expect-CT, Feature-Policy
  • TLS — versión, cipher, firma, expiración, cadena
  • HTTPS / HSTS preload — redirección HTTP→HTTPS, elegibilidad HSTS preload
  • CSP detail — directivas, fuentes inseguras, nonce/hash/strict-dynamic
  • Mixed content — recursos HTTP en página HTTPS
  • SRI — integrity en scripts/styles cross-origin
  • iframes / target=_blank / forms — iframe sandbox, target=_blank, formularios HTTPS
  • Endpoints sensibles — /.env, /.git, /server-status, backups
  • .well-known — security.txt, change-password
  • CORS · OPTIONS — Origin tercero, métodos permitidos
  • Recomendaciones — priorizadas por impacto