Audyt bezpieczeństwa · Zero-Data · Za darmo
Budujesz z AI?
Zadbaj o bezpieczeństwo.
Lovable, Bolt, v0, Webflow, Wix — szybkie narzędzia, ale wyciekające klucze API, otwarte bazy danych i brak RODO to tylko kwestia czasu. Wykryj luki zanim zrobi to ktoś inny.
przykładowy wynik · dane fikcyjne
Efekt skanu
Przed skanem vs. po naprawie.
Port 3306 MySQL
otwarty publicznie
/.env
dostępny bez logowania
sk_live_xK9... w bundle
klucz Stripe wyciekł
Nagłówki HTTP
brak HSTS, X-Frame, CSP
Supabase Auth
open signup, brak rate limit
DMARC p=none
spoofing emaila możliwy
Polityka prywatności
brak — naruszenie RODO
12 problemów wykrytych
Porty TCP
wszystkie zamknięte
Pliki środowiskowe
niedostępne
Sekrety w bundle JS
brak wykryć
Nagłówki HTTP
HSTS, CSP, X-Frame — komplet
Auth / Supabase
rate limit aktywny, RLS OK
DNS / E-mail
DMARC p=reject, DKIM OK
Compliance
polityka prywatności — OK
0 problemów — gotowe do produkcji
Dla kogo?
Każda platforma ma swoje luki.
Niezależnie czym budujesz — skanujemy pod kątem typowych problemów dla Twojego stosu.
- —Klucze Stripe w bundle JS
- —Tabele Supabase bez RLS
- —Open signup — brak email confirmation
- —Brak CSP
- —Nagłówki HTTP niekompletne (HSTS brak)
- —TikTok Pixel bez cookie consent
- —Brak DKIM, DMARC p=none
- —Mixed content HTTP/HTTPS
- —Source mapy JS publiczne
- —Klucze OpenAI w bundlu
- —Brak X-Frame-Options
- —Brak CAA DNS
- —API routes bez autentykacji
- —.env wypchnięty do repo
- —CORS wildcard
- —Brak Permissions-Policy
- —Tabele bez Row Level Security
- —Open Firebase Realtime DB
- —Edge Functions bez auth
- —service_role key w frontendzie
- —Brak DMARC enforcement
- —Brak polityki prywatności (RODO)
- —Brak security.txt
- —Tracking bez CMP
Co widzisz po skanie
Czytelny raport.
Konkretny wynik.
Bez technicznego żargonu.
8 modułów skanowania działa równolegle. Po sekundach widzisz co jest zagrożone, co jest bezpieczne i co wymaga natychmiastowej naprawy. Każdy problem ma gotowy opis i krok naprawczy po polsku.
Jak działa
Autoryzacja właściciela — jeden tag meta
Wpisujesz URL i dodajesz jeden tag <meta> do <head> swojej strony. W Lovable/Bolt: wklejasz w chat AI i piszesz żeby dodał w header. Bez tagu — bez skanu. Chroni przed skanowaniem cudzych domen.
<meta name="security-scan" content="wirtualnatarcza-..." />
8 modułów skanu równolegle
Silnik jednocześnie sprawdza porty TCP, pliki środowiskowe, sekrety w bundle JS, nagłówki HTTP, auth Supabase/Firebase, rekordy DNS, GraphQL introspection, otwarte API, formy bez CSRF oraz zgodność z RODO. Wszystko w ~30 sekund.
✓ Porty TCP ✓ Pliki .env/.git ✓ Sekrety w bundle JS ✓ Nagłówki HTTP ✓ Supabase Auth/RLS ✓ DNS SPF+DMARC+DKIM ✓ GraphQL introspect. ✓ Compliance RODO ✓ API bez auth ✓ Formy CSRF / Email
Raport po polsku + Fix Prompt
Ocena A–F, opis każdego ryzyka po polsku, priorytety naprawy. Gotowy prompt do wklejenia w Lovable / Cursor / ChatGPT — AI naprawia luki zamiast Ciebie.
Wynik: F (22/100) 12 problemów → 0 problemów → Skopiuj Fix Prompt → Wklej do edytora AI → AI naprawia za Ciebie
Co sprawdzamy
8 warstw
ochrony.
Jeden klik. 30 sekund. Kompletny obraz bezpieczeństwa — od portów TCP po zgodność z RODO.
MySQL, PostgreSQL, MongoDB, Redis, Elasticsearch, Docker, RDP, SSH — każda baza wystawiona na internet to gotowy wektor ataku. Sprawdzamy 21 portów z uwzględnieniem CDN (Cloudflare, Vercel, Netlify).
.env, .git/HEAD, .git/config, backup.sql, phpmyadmin, Swagger UI, /actuator, Laravel logs, GraphQL introspection, package.json — publiczny dostęp do każdego z tych plików to natychmiastowy wyciek danych.
Klucze Stripe sk_live_, AWS AKIA, OpenAI sk-, Anthropic sk-ant-, Supabase service_role JWT, SendGrid, Slack xoxb-, GitHub ghp_, Resend re_, connection stringi Postgres/MongoDB — wykrywamy i potwierdzamy aktywność (probe na Stripe /v1/balance).
HSTS, Content-Security-Policy, X-Frame-Options (clickjacking), X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CORS wildcard, cookies (Secure/HttpOnly/SameSite), mixed content HTTPS/HTTP, SRI dla zewnętrznych skryptów. Uwzględniamy meta tagi i CDN.
Tabele Supabase bez RLS, PII w zwracanych danych, Edge Functions bez auth, open signup, brak rate limitu na logowanie, Firebase open Realtime DB. Dodatkowo: endpointy /api/* zwracające JSON bez uwierzytelnienia, formularze POST bez tokenów CSRF, GraphQL introspection.
SPF, DMARC (p=none vs p=reject), DKIM (sprawdzamy 9 selektorów), CAA (autoryzowane CA), subdomain takeover (crt.sh + CNAME do Heroku/GitHub Pages/S3 — czy wskazują na 'No such app'). Wykrywamy możliwe przejęcia subdomen.
Ważność certyfikatu (alerty 30/14 dni), wygasłe certyfikaty, wersja protokołu TLS (TLS 1.0/1.1 są przestarzałe — RFC 8996), CDN-aware (Cloudflare auto-odnawia — nie alarmujemy fałszywie), przekierowanie HTTP → HTTPS.
Polityka prywatności (link w stopce), regulamin, skrypty analityczne (GA/GTM, Meta Pixel, TikTok Pixel, Hotjar) bez widocznego CMP (CookieBot, OneTrust, Klaro), brak security.txt, ekspozycja adresów e-mail w HTML. Kara UODO do 20M EUR lub 4% obrotów.
Prywatność
Zero-Data Architecture.
Twoje dane nigdzie nie uciekają.
Cała analiza odbywa się lokalnie na naszym serwerze. Wyniki skanowania są szyfrowane i widoczne wyłącznie na Twoim koncie. Żadne dane Twojej strony nie trafiają do zewnętrznych modeli AI — OpenAI, Anthropic, Google.
Wirtualna Tarcza używa własnej, lokalnej bazy wiedzy o podatnościach. Skanujemy to co publiczne — tak samo jak przeglądarka.
Lokalna analiza
Cały skan odbywa się na naszym serwerze, bez zewnętrznych API AI.
Szyfrowane wyniki
Wyniki skanu widoczne tylko na Twoim koncie — JWT + bcrypt.
Brak danych klientów
Nie zbieramy danych użytkowników Twojej strony, tylko metadane skanu.
Weryfikacja własności
Skanujemy tylko domeny potwierdzone przez właściciela tagiem meta.
Pytania i odpowiedzi