Secretos de proveedores en JavaScript
Credenciales de pagos, IA, cloud o repositorios pueden ser extraídas por cualquier visitante.
Secretos expuestos en frontend
BoringSec inspecciona lo que recibe el navegador, oculta la evidencia sensible y no marca identificadores públicos como filtraciones por defecto.
Úsalo tras cambios de entorno, build, integraciones o despliegues frontend.
Escanea solo sistemas propios o para los que tengas autorización. Los motores profundos requieren autorización verificada y pueden no estar disponibles para un objetivo.
Estructura de ejemplo del informe
Este hallazgo es ilustrativo, no un resultado de tu aplicación. Los informes reales muestran el escáner, el estado de la evidencia y los límites de cobertura del objetivo.
Rutas de riesgo comunes
Son patrones de riesgo relevantes para proyectos de exposición de claves API, no afirmaciones sobre todos ellos. Solo aparece un hallazgo cuando un escáner aporta evidencia.
Credenciales de pagos, IA, cloud o repositorios pueden ser extraídas por cualquier visitante.
Cadenas de conexión, secretos de firma y claves service-role permiten acceso directo.
Claves publicables e IDs analíticos requieren clasificación por formato y contexto.
Cobertura honesta
La URL, el código conectado y los motores profundos autorizados responden preguntas distintas. BoringSec separa las fuentes y muestra estados parciales, bloqueados o no disponibles.
Leer la metodología pública (en inglés)Escanea el documento y JavaScript acotado del mismo origen; los assets omitidos quedan como cobertura parcial.
Reconoce formatos de proveedores, claves privadas, URLs de base de datos y tokens backend.
Muestra el origen y un valor enmascarado, no una credencial reutilizable.
El código conectado añade archivos de servidor y credenciales no enviadas al navegador.
De la observación a la verificación
Inspecciona la respuesta pública e inicia los motores en segundo plano que sean aplicables.
Consulta qué se observó, qué escáner lo produjo y con qué confianza.
Usa una corrección concreta y el contexto relevante para Comprobador de claves API.
Ejecuta una evaluación nueva; la monitorización detecta regresiones posteriores.
No. Nunca se autentica en terceros con credenciales encontradas.
No. Indican valores visibles en el navegador; lo inseguro es colocar allí secretos del servidor.
No. La evidencia compatible se enmascara y conserva solo el contexto necesario.
No. Formatos no compatibles, assets inaccesibles y archivos de servidor quedan fuera del escaneo por URL.
Empieza por la URL pública. Añade código o contexto autenticado solo cuando decidas ampliar la cobertura.
Iniciar un escaneo de seguridad