HSTS ausente, CSP inexistente, .git/config acessível, versão do servidor no header. O Shield verifica os fundamentos de hardening HTTP que a maioria dos deploys ignora, sem instalar nada no seu servidor.
O scanner faz requisições HEAD/GET para URLs conhecidas como vetores de vazamento e verifica se a resposta é 4xx (bloqueado) ou 200 (exposto). Sem payload, sem modificação, apenas leitura de respostas HTTP padrão.
# Verifica se caminhos sensíveis estão bloqueados.
# 4xx = protegido (passa). 200 = exposto (falha).
for path in /.git/config /.env /.DS_Store /phpinfo.php; do
code=$(curl -s -o /dev/null -w '%{http_code}' "https://seu-app.com$path")
echo "$path → $code"
doneVerifica se o cabeçalho `Strict-Transport-Security` está presente e com validade adequada.
Ver detalhes →Confere se há cabeçalho CSP configurado.
Ver detalhes →Verifica `X-Frame-Options` ou `frame-ancestors` equivalente na CSP.
Ver detalhes →Alerta quando cabeçalhos de servidor revelam versões (`nginx/1.18.0`, `Express`, `PHP/7.4`).
Ver detalhes →Segue redirecionamentos e garante que HSTS continua presente no destino final.
Ver detalhes →Detecta `Access-Control-Allow-Origin: *` combinado com `Allow-Credentials: true`.
Ver detalhes →Segue a cadeia de redirects e confirma que terminou em HTTPS.
Ver detalhes →Sonda URLs comuns como `/.git/config`, `/.env`, `/.DS_Store`, `/phpinfo.php` e exige resposta 4xx.
Ver detalhes →Cole a URL pública e receba o relatório completo de hardening HTTP.