Cargando…
Escaneamos cabeceras, TLS, cookies, CORS, redirects y tu stack (Supabase, Firebase, Clerk). Cada hallazgo viene con su articulo de la Ley 21.719 y con un prompt listo para pegar en Claude o Cursor. Hecho para LATAM, en espanol.
Sin tarjeta · sin instalar meta tag · resultado real en segundos
Compatible con tus agentes
Una sola plataforma cubre desde el primer escaneo hasta el reporte y la API, con output pensado para humanos y para tus agentes de IA.
12+ chequeos en paralelo: cabeceras, TLS, cookies, CORS, redirects, DNS, GraphQL y deteccion de tu stack (Supabase, Firebase, Clerk).
Cada hallazgo viene con prompt en espanol listo para Claude, Cursor o ChatGPT.
Veas la severidad real: critica, alta, media, baja. Sin alarmismo.
Vista HTML imprimible con score, evidencia, hallazgos bloqueados y contexto legal.
Endpoints v1 con API keys hasheadas para consultar proyectos, scans y findings.
Billing Polar, email transaccional y deteccion de stack ya estan cableados. Monitoreo programado y MCP quedan en roadmap, sin venderse como activos.
Cada finding incluye un prompt en espanol con causa raiz, codigo a cambiar y prueba sugerida. Lo pegas en tu agente y listo.
Optimizados para Claude Code, Cursor y Windsurf. Incluyen contexto del framework detectado (Next, Express, Django, Rails).
Cada prompt parte del hallazgo, severidad, categoria, URL y evidencia tecnica capturada por el scanner.
Identificamos Supabase, Firebase y Clerk en el frontend y te decimos que revisar: RLS, Security Rules y claves en modo test servidas en produccion.
Los endpoints v1 permiten consultar proyectos, scans y findings con API keys en planes con acceso API.
# Hallazgo: Cabecera Content-Security-Policy ausente # Framework detectado: Next.js 15 Necesito que arregles este problema de seguridad en mi aplicacion Next.js. Causa raiz: - /_next/static y /api no emiten CSP, por lo que cualquier script inyectado se ejecuta sin restricciones. Cambio sugerido: 1. Define la CSP en `middleware.ts` con nonces por request. 2. Permite 'self', tu CDN y tu dominio de Supabase. 3. Anade `upgrade-insecure-requests`. Prueba: - Curl / → Content-Security-Policy presente y con nonce. - Playwright: bloquear inline script sin nonce. Compliance: Ley 21.719 art. 14 letra b (medidas tecnicas).
Cinco scanners en paralelo, 15 segundos promedio por proyecto. Sin agentes que instalar.
CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy y X-Content-Type-Options revisados con reglas modernas.
Detectamos certificados por vencer, TLS antiguo, mixed content y HTTPS roto.
Secure, HttpOnly, SameSite y prefijos `__Host` evaluados con contexto de la sesion.
Wildcards peligrosos, origenes `null`, metodos riesgosos como TRACE.
Probamos parametros tipicos (`next`, `url`, `returnTo`) con dominios externos.
Articulos por pais: Chile 21.719, Brasil LGPD, Colombia Habeas Data, Mexico LFPDPPP, Argentina 25.326.
Saca el ruido. Mantiene la severidad real. Entrega evidencia que tu agente puede usar sin alucinar.
Output pensado para agentes: JSON estable, slugs deterministas, evidencia adjunta. Tu IA lee sin adivinar.
Los hallazgos usan slugs, evidencia JSON y categorias estables para que humanos y agentes los entiendan sin contexto extra.
API keys, endpoints v1, reportes imprimibles, billing Polar y email Resend ya estan cableados. Monitoreo y MCP quedan en roadmap.
Crawl same-origin con probe de rutas sensibles y deteccion de stack (Supabase, Firebase, Clerk) sobre la superficie publica.
Pega tu URL. En segundos corremos 12+ chequeos pasivos sobre tu superficie pública, sin instalar nada en tu sitio.
Ves score, severidad y un plan de acción con lo crítico primero, mapeado al artículo de la Ley 21.719 que aplica.
Cada hallazgo trae un prompt listo para Claude o Cursor. Pegas, arreglas y reescaneas para confirmar.
Cada hallazgo cita el articulo aplicable segun el pais del proyecto.
Articulos cortos, en espanol, escritos por gente que vive de auditar codigo IA.
Que articulos aplican a tu app web, fechas de entrada en vigencia y multas reales.
CSP, HSTS, COOP, COEP, Permissions-Policy. Que poner, en que orden y por que.
Bug clasico: tu redirect `?next=` acepta dominios externos y abre la puerta a phishing.
Configurar RLS bien y revisar policies antes de salir a prod.
Por que `*` en `Access-Control-Allow-Origin` con `credentials` es un desastre.
Como pasar del hallazgo con evidencia al prompt de fix y al PR sin perder contexto.
Registrate gratis, ve tu primer hallazgo y desbloquea prompts IA con un plan de pago. Sin instalar nada en tu sitio.