Acerca de SecurityScanner

Security analyzer sin DB, sin auth, sin persistencia.

Cómo funciona

  1. Subís ZIP, repo Git o URL.
  2. Backend crea workspace temporal y ejecuta scanners reales.
  3. WebSocket transmite progreso en vivo.
  4. Se generan reportes HTML, PDF y JSON.
  5. Workspace se elimina automáticamente tras 1h.

Scanners embebidos (sin deps)

  • • Pattern scanner: secretos, eval, exec, SQL injection, XSS
  • • Dependency scanner: requirements.txt, package.json, composer.json
  • • Complexity scanner: LOC, ciclomática por archivo
  • • URL scanner: headers, cookies, XSS, paths, redirects, info disclosure

Scanners externos (opcionales)

  • • Semgrep (si está instalado)
  • • Bandit (Python)
  • • pip-audit (CVE deps Python)

Seguridad del propio SecurityScanner

  • • SSRF: bloquea IPs privadas en URL scans
  • • Path traversal: validación en ZIP extract
  • • Zip bomb: límite de descompresión
  • • File size: 500MB máx por upload
  • • Workspaces TTL: 1h auto-cleanup

Lenguajes soportados

  • • Python, JS/TS, Java, PHP, Go, Rust, Ruby
  • • React, Vue, Angular, Svelte, Next.js
  • • Django, Flask, FastAPI, Express, Laravel
⚠ Para análisis defensivo y pruebas autorizadas.