Varredura básica
Mais de 80 verificações automatizadas executadas em cerca de 60 segundos.
Como funciona
Ao submeter uma URL, o SAFETAGGY executa uma série de verificações passivas e ativas contra o site alvo. O scanner analisa apenas informações publicamente acessíveis (headers HTTP, certificados SSL, respostas HTML/JS).
Para contornar caches de CDN, usamos uma estratégia de 3 probes:
- GET normal (resposta do edge/cache)
- GET com cache-busting (query string única +
Cache-Control: no-store) - POST request (CDNs não cacheiam POST)
Um header é considerado “presente” se encontrado em qualquer um dos probes.
Categorias de verificação
Verificações passivas (todos os planos)
| Categoria | O que verifica |
|---|---|
| Security Headers | CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cache-Control |
| SSL / TLS | Aplicação de HTTPS, presença e qualidade do HSTS, cadeia de certificados |
| Tech Fingerprinting | Frameworks, bibliotecas, servidores web e versões detectadas |
| JavaScript Libraries | Pacotes desatualizados e CVEs conhecidos |
| Information Disclosure | .git, .env, painéis admin, números de versão, comentários no HTML |
| CMS Security | Vulnerabilidades específicas de WordPress, Drupal, Joomla |
| Cloud Config | Misconfiguração AWS, GCP, Azure (buckets públicos, metadata) |
| HTTP Methods | Métodos habilitados (TRACE, OPTIONS, PUT, DELETE) |
| Email Security | Registros SPF, DKIM, DMARC no DNS |
| CORS Policy | Headers CORS permissivos ou perigosos |
| GraphQL | Endpoint GraphQL exposto, introspection habilitado |
| Sensitive Data | Chaves de API, tokens, segredos expostos em HTML/JS |
| Subdomain Takeover | Registros DNS pendentes (dangling CNAME) |
Verificações ativas
| Categoria | O que verifica |
|---|---|
| XSS (Reflected) | Injeção de payloads em parâmetros de formulários |
| SQL Injection | Teste de sintaxe SQL em parâmetros |
| CSRF | Validação de tokens anti-CSRF em formulários |
| JWT Analysis | Força do token, verificação de assinatura |
Compliance
| Framework | O que verifica |
|---|---|
| GDPR / LGPD | Política de privacidade, mecanismos de consentimento, divulgação de tratamento |
| SOC 2 | Controles de acesso, monitoramento, criptografia |
| PCI-DSS | Tratamento de dados de pagamento, transmissão segura |
Sistema de pontuação
Cada varredura começa com 100 pontos. Deduções por achado:
| Severidade | Dedução | Cor |
|---|---|---|
| Crítico | -20 pontos | Vermelho |
| Alto | -10 pontos | Laranja |
| Médio | -5 pontos | Amarelo |
| Baixo | -2 pontos | Azul |
Score mínimo: 0. Achados do tipo “info” não deduzem pontos.
Limitações conhecidas
- Sites protegidos por Cloudflare, Vercel ou outro WAF podem retornar resultados parciais (bot protection detectado)
- Conteúdo renderizado exclusivamente por JavaScript pode não ser analisado completamente
- A varredura básica não substitui um pentest profissional completo
- Rate limit de 10 varreduras por domínio por hora