Veloz Shield · Catálogo

Todos os checks executados pelo Shield.

Transparência total: cada check tem página própria, descrição, evidência de referência e instruções de remediação.

Severidade

Supabase

10 checks
SB-004Crítico

RLS bloqueia UPDATE/DELETE pela chave anônima

Tenta PATCH/DELETE com filtro impossível. 204 = falha (RLS aberta). 42501 = passa.

Ver detalhes →
SB-005Crítico

RLS bloqueia INSERT pela chave anônima

Sonda de INSERT com payload mínimo para confirmar que a role anon não pode criar linhas em tabelas sensíveis.

Ver detalhes →
SB-007Alto

Sem RPC perigoso exposto para anon

Verifica se funções como `http_get`, `pg_net.*` e `dblink_*` estão fora do schema exposto.

Ver detalhes →
SB-009Alto

Role anon não lê auth.users via PostgREST

Garante que a tabela `auth.users` não está exposta no schema público nem acessível por views.

Ver detalhes →
SB-002Médio

Cadastro por email exige confirmação

Garante que novos cadastros não virem sessões autenticadas sem validar o email.

Ver detalhes →
SB-003Médio

Buckets de Storage não são listáveis publicamente

Verifica se buckets privados bloqueiam o endpoint de listagem anônima.

Ver detalhes →
SB-008Médio

CORS em /rest/v1 não é wildcard com credenciais

Confirma que a API não devolve `Access-Control-Allow-Origin: *` combinado com `Allow-Credentials: true`.

Ver detalhes →
SB-001Baixo

Introspecção de schema restrita ao service_role

Verifica se o schema do PostgREST não é exposto para a chave anônima.

Ver detalhes →
SB-006Baixo

JWT anônimo sem validade excessiva

Decodifica o JWT da chave anon e alerta quando `exp - iat > 10 anos`.

Ver detalhes →
SB-010Informativo

Divulgação de contagem via Content-Range

Sinaliza quando a API devolve a contagem total de linhas mesmo em listagens anônimas.

Ver detalhes →

Segredos

7 checks
SECRET-001Crítico

Supabase service_role JWT em bundle público

Procura por JWTs com claim `role: service_role` nos artefatos estáticos servidos ao navegador.

Ver detalhes →
SECRET-002Crítico

Stripe sk_live_* em bundle público

Detecta chaves secretas da Stripe (`sk_live_…`) nos assets do frontend.

Ver detalhes →
SECRET-005Crítico

Chave privada (PEM) em bundle

Casa blocos `-----BEGIN … PRIVATE KEY-----` (RSA, EC, OpenSSH).

Ver detalhes →
SECRET-007Crítico

URI postgres://user:pass@host hardcoded

Procura connection strings de Postgres com credenciais embutidas em blobs.

Ver detalhes →
SECRET-003Alto

AWS Access Key (AKIA…) em bundle

Casa o padrão `AKIA[0-9A-Z]{16}` em qualquer blob estático.

Ver detalhes →
SECRET-004Alto

GitHub token (ghp_, github_pat_, gho_, ghs_)

Procura padrões de tokens pessoais e de aplicativo do GitHub.

Ver detalhes →
SECRET-006Baixo

JWT anon de Supabase com validade superior a 10 anos

Decodifica JWTs encontrados no bundle e alerta quando a janela `exp - iat` é absurdamente longa.

Ver detalhes →

HTTP

8 checks
HTTP-008Alto

Caminhos sensíveis fechados (.git, .env, phpinfo)

Sonda URLs comuns como `/.git/config`, `/.env`, `/.DS_Store`, `/phpinfo.php` e exige resposta 4xx.

Ver detalhes →
HTTP-001Médio

HSTS com max-age ≥ 6 meses

Verifica se o cabeçalho `Strict-Transport-Security` está presente e com validade adequada.

Ver detalhes →
HTTP-003Médio

Proteção contra clickjacking

Verifica `X-Frame-Options` ou `frame-ancestors` equivalente na CSP.

Ver detalhes →
HTTP-006Médio

CORS wildcard com credenciais

Detecta `Access-Control-Allow-Origin: *` combinado com `Allow-Credentials: true`.

Ver detalhes →
HTTP-007Médio

Resposta final em HTTPS (sem loop http→http)

Segue a cadeia de redirects e confirma que terminou em HTTPS.

Ver detalhes →
HTTP-002Baixo

Content-Security-Policy presente

Confere se há cabeçalho CSP configurado.

Ver detalhes →
HTTP-004Baixo

Sem vazamento de versão em Server/X-Powered-By

Alerta quando cabeçalhos de servidor revelam versões (`nginx/1.18.0`, `Express`, `PHP/7.4`).

Ver detalhes →
HTTP-005Baixo

HSTS preservado em redirects

Segue redirecionamentos e garante que HSTS continua presente no destino final.

Ver detalhes →