// Reconocimiento y análisis de vulnerabilidades del lado del cliente
Audita, mapea y expón lo que tu servidor está regalando.
Detección de XSS reflejado (con inyección activa), XSS basado en DOM, clickjacking, contenido mixto, secretos filtrados en el código fuente, librerías vulnerables, Open Redirect y un mapeo de más de 30 rutas sensibles (.env, .git, backups, paneles admin, credenciales de nube). Todo con severidad, evidencia y remediación.
⚠️
Uso ético únicamente. Analiza solo dominios propios o con autorización escrita. El mapeo de rutas hace peticiones reales GET a cada ruta del listado — es una técnica estándar de reconocimiento pasivo (equivalente a lo que hacen herramientas como dirsearch/ffuf), no un exploit. Por el same-origin policy del navegador, algunas lecturas cross-origin solo funcionan si el servidor lo permite (CORS); para esos casos, esta herramienta genera un script curl que puedes correr localmente sin esa restricción, y parsea el resultado de vuelta en el reporte.
01 · XSS
Reflejado (inyección activa con marcador único) y basado en DOM (fuente→sink)
02 · FRAMING
Clickjacking por cabeceras + prueba visual embebida
03 · EXPOSICIÓN
Mapeo de 30+ rutas: .env, .git, backups, paneles, credenciales
04 · FILTRACIÓN
Secretos, API keys y tokens embebidos en el código fuente