Scanning

O que você pode scanear

Qualquer aplicação acessível publicamente na internet — independente da tecnologia, do framework ou de como foi construída.

Qualquer tecnologia, qualquer framework

O scanner analisa o comportamento HTTP do seu site — os cabeçalhos que o servidor devolve, as políticas de segurança declaradas e os arquivos de configuração expostos. Esse processo é completamente independente de como o site foi construído internamente: o que importa é a URL.

Não importa se o frontend é em React, a API em Go ou o banco hospedado em qualquer cloud — o scanner enxerga o que um atacante veria de fora.

React Next.js Vue Nuxt Svelte SvelteKit Angular Astro Remix Gatsby WordPress Laravel Django Rails Flask FastAPI ASP.NET Spring Boot Express Go PHP Elixir / Phoenix Ruby Rust

A única exigência é que o site esteja online

O scanner acessa o alvo pela internet pública, exatamente como um usuário ou um atacante faria. Se tem uma URL e está acessível, a CarameloSec consegue analisar.

Sites criados com vibe coding

Plataformas como Lovable, Bolt, v0, Framer e Webflow permitem criar e publicar sites completos em horas. Isso é ótimo para velocidade — mas raramente essas plataformas configuram automaticamente os cabeçalhos de segurança corretos.

Sites publicados via vibe coding são alvos frequentes de configurações ausentes: sem HSTS, sem CSP, sem proteção de cookies, arquivos sensíveis expostos. A CarameloSec foi pensada exatamente para identificar esses problemas de forma rápida, sem exigir acesso ao código-fonte ou ao painel da plataforma usada.

Lovable Bolt v0 Framer Webflow Bubble Wix Squarespace Cursor Replit

Análise de fora para dentro

Você não precisa abrir o repositório, compartilhar credenciais ou instalar nada na plataforma onde o site está hospedado. A análise é feita pelo mesmo ângulo que um atacante usaria.

APIs e backends

A CarameloSec não se limita a frontends. Se você tem uma API REST, um backend ou qualquer endpoint HTTP acessível publicamente, é possível analisá-lo da mesma forma — os mesmos checkers de cabeçalho, CORS, cookies e arquivos expostos se aplicam igualmente.

Para escanear um endpoint de API ou backend, o fluxo é idêntico ao de um site: configure o token de acesso para confirmar que você tem permissão sobre aquele alvo, e a análise roda normalmente.

Token funciona para APIs também

O mesmo token de acesso configurado na página de Autorização de Token é usado tanto para domínios web quanto para endpoints de API e backends — não há configuração diferente.