Scanning
Checkers
Cada verificação que a CarameloSec executa no scan — o que analisa e por que importa para a segurança do seu site.
Como os checkers formam a nota
Cada checker tem peso igual no cálculo. A porcentagem de checks aprovados determina a nota final: 100% = A, valores menores correspondem progressivamente a B, C, D e F. Os checkers marcados como falhos no relatório são exatamente os que estão puxando a nota para baixo.
#1
HSTS Header Presence
Verifica se o seu site tem a "trava de segurança" (HTTP Strict Transport Security – HSTS) ativada.
HSTS
#2
HSTS Secure Max-Age Value
Confere se a "trava de segurança" (HTTP Strict Transport Security – HSTS) tem um prazo de validade longo o suficiente.
HSTS
#3
HSTS Preload Property Presence
Verifica se o seu site pede para entrar em um acordo de confiança permanente com os navegadores.
HSTS
#4
HSTS IncludeSubDomains Property Presence
Verifica se a "trava de segurança" (HTTP Strict Transport Security – HSTS) vale para a "família toda" (subdomínios).
HSTS
#5
CSP Header Presence
Verifica se você criou a "Lista de Convidados" (Content Security Policy – CSP) do seu site.
CSP
#6
CSP Default-Src Value
Confere se a regra "Mãe" do Content Security Policy (CSP) está definida.
CSP
#7
CSP Object-Src Value
Verifica se o "segurança da balada" (Content Security Policy – CSP) está impedindo a entrada de tecnologias jurássicas e perigosas.
CSP
#8
CSP Base-Uri Value
Garante que o "segurança da balada" (Content Security Policy – CSP) não deixará ninguém mudar o endereço base dos seus links.
CSP
#9
CSP Form-Action Value
Define para onde os formulários do seu site (login, contato, newsletter) podem enviar dados.
CSP
#10
CSP Frame-Ancestors Value
A regra do "Quem pode me colocar numa moldura?". Define quais sites podem exibir o seu site dentro de um <iframe>.
CSP
#12
CSP Script-Src Value
Controla quem pode executar Scripts (JavaScript) no navegador do usuário. É a principal defesa contra XSS.
CSP
#17
CSP Img-Src Value
Controla de onde as imagens do seu site podem ser carregadas.
CSP
#18
CSP Style-Src Value
Define quem tem permissão para "vestir" o site (arquivos CSS).
CSP
#19
CSP Media-Src Value
Controla a reprodução de áudio e vídeo (tags <audio> e <video>).
CSP
#20
CSP Frame-Src Value
A regra do "O que eu posso assistir na minha TV?". Define quais sites você pode carregar dentro de iframes no seu site.
CSP
#21
CSP Font-Src Value
Controla de onde as fontes de texto (tipografia) podem ser baixadas.
CSP
#22
CSP Connect-Src Value
Define para onde o seu site pode "telefonar" (fazer requisições de dados em segundo plano) via Scripts.
CSP
#13
X-Content-Type-Options Value
Instrui o navegador a não tentar "adivinhar" o tipo de um arquivo, devendo respeitar exclusivamente o tipo informado pelo servidor.
HEADERS
#14
X-Frame-Options Value
A versão clássica da proteção contra Clickjacking, mantida para garantir compatibilidade com navegadores mais antigos.
HEADERS
#15
CORS Access-Control-Allow-Origin Value
O porteiro que verifica o crachá de quem está batendo na porta da sua API.
CORS
#16
CORS Access-Control-Allow-Methods Values
Define quais ações (verbos) os visitantes autorizados podem realizar na sua API.
CORS
#23
Sensitive Files Exposed
Verifica se você está deixando as chaves do seu cofre (senhas, tokens, banco de dados) na porta de entrada para qualquer pessoa pegar.
ARQUIVOS VAZADOS
#24
Configuration File Information Leakage
Confere se seus arquivos de configuração estão contando segredos que não deveriam (senhas esquecidas, modo debug ligado, rotas internas).
ARQUIVOS VAZADOS
#28
Cookie Security Flags
Verifica se os cookies do seu site estão protegidos. Pense neles como crachás de identificação — sem as flags corretas (HttpOnly, Secure, SameSite), alguém mal-intencionado pode copiá-los ou roubá-los.
COOKIES