Scanners gratuitos verificam uma coisa.
Nós verificamos tudo.
SSL Labs, Mozilla Observatory e securityheaders.com são ótimos no que fazem. A BoringSec coordena módulos básicos de URL e mecanismos verificados, e continua monitorando.
Categories covered in one scan
One BoringSec scan replaces all three free tools — and covers the categories they can't see.
Cole a URL de um site ou link do GitHub — detectamos automaticamente qual varredura executar.
O que cada scanner realmente verifica
Uma comparação honesta com SSL Labs, Mozilla Observatory, securityheaders.com. Onde as ferramentas gratuitas são fortes, nós reconhecemos — a diferença é o quanto uma única varredura da BoringSec cobre.
BoringSec
20/20- Módulos básicos de URLMódulos básicos
- Cabeçalhos de segurança HTTP (15+)Compatível
- Análise profunda de SSL/TLSCompatível
- DNS (SPF, DMARC, DKIM, CAA, DNSSEC)Compatível
- Segredos e chaves de API expostosCompatível
- CVEs conhecidas na sua stack de tecnologiaCompatível
- Segurança de banco de dados (Supabase, Firebase)Compatível
- Verificações de GDPR e privacidadeCompatível
- Reputação de malware e listas de bloqueioCompatível
- Monitoramento contínuo ao longo do tempoCompatível
- Correções em linguagem simples e prontas para IACompatível
- Relatórios em 10 idiomasCompatível
- Nota unificada de A++ a FCompatível
- Integração com API, CI/CD e SlackCompatível
SSL Labs
1/20- Módulos básicos de URLSó TLS
- Cabeçalhos de segurança HTTP (15+)Não compatível
- Análise profunda de SSL/TLSForteCompatível
- DNS (SPF, DMARC, DKIM, CAA, DNSSEC)Não compatível
- Segredos e chaves de API expostosNão compatível
- CVEs conhecidas na sua stack de tecnologiaNão compatível
- Segurança de banco de dados (Supabase, Firebase)Não compatível
- Verificações de GDPR e privacidadeNão compatível
- Reputação de malware e listas de bloqueioNão compatível
- Monitoramento contínuo ao longo do tempoNão compatível
- Correções em linguagem simples e prontas para IANão compatível
- Relatórios em 10 idiomasSó ENNão compatível
- Nota unificada de A++ a FSó TLSParcial
- Integração com API, CI/CD e SlackParcial
Mozilla Observatory
2/20- Módulos básicos de URLCabeçalhos + TLS
- Cabeçalhos de segurança HTTP (15+)Compatível
- Análise profunda de SSL/TLSParcial
- DNS (SPF, DMARC, DKIM, CAA, DNSSEC)Não compatível
- Segredos e chaves de API expostosNão compatível
- CVEs conhecidas na sua stack de tecnologiaNão compatível
- Segurança de banco de dados (Supabase, Firebase)Não compatível
- Verificações de GDPR e privacidadeNão compatível
- Reputação de malware e listas de bloqueioNão compatível
- Monitoramento contínuo ao longo do tempoNão compatível
- Correções em linguagem simples e prontas para IAParcial
- Relatórios em 10 idiomasSó ENNão compatível
- Nota unificada de A++ a FSó cabeçalhosParcial
- Integração com API, CI/CD e SlackNão compatível
securityheaders.com
1/20- Módulos básicos de URLSó cabeçalhos
- Cabeçalhos de segurança HTTP (15+)Compatível
- Análise profunda de SSL/TLSNão compatível
- DNS (SPF, DMARC, DKIM, CAA, DNSSEC)Não compatível
- Segredos e chaves de API expostosNão compatível
- CVEs conhecidas na sua stack de tecnologiaNão compatível
- Segurança de banco de dados (Supabase, Firebase)Não compatível
- Verificações de GDPR e privacidadeNão compatível
- Reputação de malware e listas de bloqueioNão compatível
- Monitoramento contínuo ao longo do tempoNão compatível
- Correções em linguagem simples e prontas para IAParcial
- Relatórios em 10 idiomasSó ENNão compatível
- Nota unificada de A++ a FSó cabeçalhosParcial
- Integração com API, CI/CD e SlackNão compatível
Quatro coisas que um scanner de uma única passada não consegue fazer
Um fluxo, módulos independentes
Cabeçalhos, TLS, DNS, cookies, CORS, exposição, injeção, XSS, subdomínios, segredos, bancos de dados, CVEs de tecnologia, privacidade, reputação e muito mais — tudo reunido em uma única nota de A++ a F, em vez de três ferramentas separadas que você mesmo precisa executar e conciliar.
- Módulos básicos em um único fluxo
- Uma nota e um relatório unificados
- Mecanismos verificados em segundo plano
Detecta o que os verificadores de cabeçalho não conseguem
Scanners gratuitos leem os cabeçalhos da sua resposta. A BoringSec lê o JavaScript que você publica e a sua infraestrutura — encontrando chaves expostas de Stripe, AWS, Supabase e GitHub, regras abertas de RLS do Supabase e do Firebase, e CVEs conhecidas nas bibliotecas que você realmente usa.
- Chaves de API vazadas nos seus bundles
- Regras de banco de dados abertas (RLS / Firebase)
- CVEs correlacionadas pela base de dados OSV
Segurança não é uma verificação única
Uma varredura limpa hoje não diz nada sobre a próxima semana. A BoringSec continua de olho — refazendo a varredura de forma agendada e alertando você sobre expiração de certificado, desfiguração, novas vulnerabilidades, inclusão em listas de bloqueio e indisponibilidade.
- Novas varreduras agendadas a partir de $19/mês
- Contagem regressiva para expiração de certificado
- Alertas de desfiguração e listas de bloqueio
Corrija, não apenas encontre
Cada achado vem com uma explicação em linguagem simples, a evidência exata que observamos e uma correção que você consegue aplicar — incluindo prompts de correção prontos para IA. E o relatório inteiro é exibido no idioma do site que você analisou.
- Remediação em linguagem simples
- Prompts de correção por IA para copiar e colar
- Localizado em 10 idiomas
Por que os scanners gratuitos não bastam
Eles são ótimos para verificações pontuais de uma única dimensão. Nunca foram pensados para ser o seu panorama de segurança completo.
Nós realmente gostamos do SSL Labs, Mozilla Observatory, securityheaders.com — também as usamos. Elas fazem bem o seu trabalho específico, e isto não é sobre substituir uma boa verificação de TLS ou de cabeçalhos. É sobre tudo o que essas verificações não conseguem ver. A BoringSec dá a você o panorama completo em um só lugar.
Compare planos e monitoramento →