S
SENTINEL PROConsola de auditoría y mapeo de exposición
MOTOR LISTO
// Reconocimiento y análisis de vulnerabilidades del lado del cliente

Audita, mapea y expón lo que tu servidor está regalando.

Detección de XSS reflejado (con inyección activa), XSS basado en DOM, clickjacking, contenido mixto, secretos filtrados en el código fuente, librerías vulnerables, Open Redirect y un mapeo de más de 30 rutas sensibles (.env, .git, backups, paneles admin, credenciales de nube). Todo con severidad, evidencia y remediación.

⚠️
Uso ético únicamente. Analiza solo dominios propios o con autorización escrita. El mapeo de rutas hace peticiones reales GET a cada ruta del listado — es una técnica estándar de reconocimiento pasivo (equivalente a lo que hacen herramientas como dirsearch/ffuf), no un exploit. Por el same-origin policy del navegador, algunas lecturas cross-origin solo funcionan si el servidor lo permite (CORS); para esos casos, esta herramienta genera un script curl que puedes correr localmente sin esa restricción, y parsea el resultado de vuelta en el reporte.
01 · XSS
Reflejado (inyección activa con marcador único) y basado en DOM (fuente→sink)
02 · FRAMING
Clickjacking por cabeceras + prueba visual embebida
03 · EXPOSICIÓN
Mapeo de 30+ rutas: .env, .git, backups, paneles, credenciales
04 · FILTRACIÓN
Secretos, API keys y tokens embebidos en el código fuente
El escaneo intenta leer cabeceras/HTML vía fetch (funciona en sitios propios o con CORS abierto), incrusta el objetivo en un iframe para la prueba visual de clickjacking, e inyecta un marcador único en los parámetros existentes para confirmar XSS reflejado real.
Se prueban en vivo más de 30 rutas sensibles agrupadas por categoría: control de versiones, configuración/secretos, backups, paneles administrativos, credenciales de nube y documentación técnica expuesta. Las lecturas cross-origin dependen de CORS — usa "Generar script curl" para un resultado 100% preciso desde tu terminal, y pega la salida en la pestaña 03 para integrarla al reporte.
Este modo evita por completo las restricciones de CORS: cabeceras, sinks de DOM XSS, contenido mixto, secretos filtrados y mapeo de rutas se procesan directamente sobre el texto que pegues.
Objetivo analizado
Índice de riesgo