Ir para o conteúdo principal
Entrar
CaptainDNS

Diagnóstico de email

Ferramentas para verificar e validar a configuração de autenticação de email.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Entregabilidade

Auditoria de entregabilidadeAnalisador de cabeçalhosTestador de emailVerificador blacklist IPVerificador blacklist domínioSimplificador SPFPesquisa de seletores DKIMVerificador SMTP/MX

Proteger e Monitorar

Geradores de registros, hosting de políticas e monitoramento contínuo.

Rede e Web

Ferramentas de rede, análise de páginas web e certificados.

Ferramentas IP

O meu endereço IP

Detete os seus endereços IPv4/IPv6 e a respetiva geolocalização.

Pesquisa reversa

Resolva um registo PTR e valide a consistência DNS.

WhoIs de IP

Identifique o proprietário de um bloco de IP e respetivos contactos.

Máscara IPv4

Calcule a rede, o broadcast e os hosts utilizáveis de qualquer bloco IPv4.

Calculadora de sub-redes IPv6

Calcule sub-redes IPv6, faixas de endereços e entradas DNS reverso.

Certificados e BIMI

Inspector de logótipo BIMI

Analise a URL de um logótipo BIMI, o formato, os metadados e a renderização.

BIMI SVG Converter

Converta qualquer SVG para o formato Tiny-PS compatível BIMI em segundos.

Analisador de CSR

Inspecione um CSR, extraia detalhes do assunto, impressões digitais e SANs pedidos.

Inspetor VMC

Examine um Verified Mark Certificate: autoridade emissora, validade e SAN antes de publicar o BIMI.

Web

Verificador de peso de página

Verifique se sua página excede o limite de 2 MB do Googlebot.

Verificador de URL de phishing

Verifique se uma URL é sinalizada como phishing ou malware por 4 fontes.

Visualizador de cabeçalhos HTTP

Inspecione os cabeçalhos HTTP retornados por uma URL, com anotações para os cabeçalhos de segurança.

Teste HSTS

Analise a política HSTS de um domínio e o seu estatuto na preload list do Chromium.

Redirect Checker

Analise cadeias de redirecionamentos HTTP

Redirecionamento de domínio

Redirecione seus domínios com HTTPS automático e redirecionamentos 301/302.

HTTP Uptime Monitor

Monitore a disponibilidade dos seus sites com checks agendados e alertas por email.

Páginas de status

Publique uma página pública que agrupa os seus monitores HTTP.

Ferramentas de desenvolvimento

Utilitários de texto e ferramentas para o dia a dia do desenvolvimento.

Texto

Transforme e meça o seu conteúdo em segundos.

Conversor de caixa de texto

Converta instantaneamente qualquer bloco de texto para maiúsculas ou minúsculas.

Gerador de slug

Transforme qualquer título em um slug otimizado para SEO em segundos.

Contador de palavras e caracteres

Meça o tamanho de qualquer texto com contagens imediatas de palavras e caracteres.

Gerador de senhas

Gere senhas aleatórias fortes e frases-senha fáceis de lembrar.

Desenvolvedor

Codificação, hashing, regex e formatação para o dia a dia dev.

Codificador / decodificador Base64

Codifique ou decodifique conteúdo em Base64 diretamente no navegador.

Gerador de hash

Calcule os hashes MD5, SHA-1, SHA-256 e SHA-512 de qualquer texto.

Codificador / decodificador URL

Codifique ou decodifique texto com percent-encoding (RFC 3986) diretamente no navegador.

Testador de regex

Teste uma expressão regular contra um texto e visualize as correspondências.

Formatador JSON / YAML

Formate, valide e converta JSON e YAML em um clique.

Verificador de Headers HTTP com Nota de Segurança

Verifique seus headers HTTP de segurança e obtenha uma nota de A a F

Insira uma URL para analisar os headers HTTP retornados pelo servidor. A ferramenta detecta os 10 security headers essenciais (CSP, HSTS, X-Frame-Options, etc.) e calcula uma pontuação ponderada com uma nota de A a F.

Por que analisar seus headers HTTP de segurança?

Os headers HTTP de segurança formam a primeira linha de defesa do seu site na camada do navegador. Sem CSP, sem HSTS, sem X-Frame-Options, você deixa aos atacantes ângulos de ataque que os padrões modernos sabem fechar. Um teste de segurança de site regular permite detectar esses esquecimentos antes que se transformem em incidente.

Nosso analisador recupera os headers HTTP retornados pelo seu servidor, confronta-os com as recomendações OWASP e Mozilla, e depois calcula uma pontuação ponderada acompanhada de uma nota de A a F. Em 30 segundos você obtém uma visão clara das brechas a corrigir.

Três casos de uso principais:

  • Auditoria de entrada em produção: validar a configuração dos security headers antes da abertura pública
  • Acompanhamento de conformidade: preparar uma auditoria PCI DSS, ISO 27001 ou SOC 2 que exige esses controles
  • Resposta a incidente: verificar que nenhum header HTTP crítico foi removido após uma atualização do servidor

Como usar o analisador em 3 etapas

Etapa 1: inserir a URL a ser testada

Informe a URL completa a ser analisada, por exemplo https://captaindns.com. A ferramenta aceita URL públicas acessíveis tanto em HTTPS como em HTTP, e segue o primeiro redirecionamento se necessário.

Etapa 2: iniciar a análise dos headers

Clique em Analisar headers. O servidor realiza uma requisição GET para a URL, captura todos os headers HTTP retornados, e depois aplica as regras de scoring sobre os 10 security headers monitorados.

Etapa 3: ler a nota e as recomendações

Você obtém:

  • A nota de A a F e a pontuação sobre 100
  • O detalhe header por header com status presente/ausente
  • Os valores recomendados para cada header ausente
  • Os tooltips pedagógicos que explicam o papel de cada header

O que são os headers HTTP de segurança?

Um header HTTP é uma linha de metadados enviada pelo servidor além do conteúdo da página. Os security headers são uma família específica de headers que pilotam o comportamento do navegador para bloquear ou limitar os ataques no lado cliente.

Quando seu navegador carrega https://captaindns.com, o servidor retorna primeiro seus headers HTTP antes do HTML. Esses headers indicam por exemplo: 'Forçar HTTPS por um ano' (HSTS), 'Executar somente os scripts do mesmo domínio' (CSP), ou 'Recusar ser exibido em um iframe' (X-Frame-Options).

Exemplo de headers HTTP retornados por um site seguro:

HTTP/2 200
strict-transport-security: max-age=31536000; includeSubDomains; preload
content-security-policy: default-src 'self'; script-src 'self'
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: strict-origin-when-cross-origin
permissions-policy: geolocation=(), microphone=()

Sem esses security headers, o navegador aplica comportamentos padrão muito mais permissivos, herdados dos primórdios da web.

Os 10 headers analisados e seu papel

A ferramenta avalia 10 headers HTTP, cada um com um peso refletindo seu impacto na postura de segurança.

Header HTTPPesoPapelValor de exemplo
Strict-Transport-Security2.0Força HTTPS e impede o sslstripmax-age=31536000; includeSubDomains; preload
Content-Security-Policy2.0Bloqueia XSS e injeção de scriptsdefault-src 'self'; script-src 'self'
Content-Security-Policy-Report-Only0.5CSP em modo observação, sem bloqueiodefault-src 'self'; report-uri /csp-report
X-Frame-Options1.0Impede o clickjacking via iframeDENY ou SAMEORIGIN
X-Content-Type-Options1.0Bloqueia o MIME sniffingnosniff
Referrer-Policy1.0Limita o vazamento de URL via Refererstrict-origin-when-cross-origin
Permissions-Policy1.0Restringe as APIs do navegador (câmera, microfone, geolocalização)geolocation=(), microphone=()
Cross-Origin-Opener-Policy1.0Isola o contexto de navegaçãosame-origin
Cross-Origin-Embedder-Policy1.0Controla os recursos cross-origin carregadosrequire-corp
Cross-Origin-Resource-Policy1.0Define quem pode carregar seus recursossame-origin ou same-site

Total máximo: 11,5 pontos. A pontuação é em seguida convertida para 100 para produzir a nota final.

Como sua nota de A a F é calculada?

O cálculo aplica uma lógica simples e reproduzível.

Etapa 1: pontuação bruta Cada header presente e corretamente configurado rende seu peso completo. Um header presente mas mal configurado (ex. HSTS com max-age curto demais) rende um peso reduzido. O total bruto máximo é de 11,5 pontos.

Etapa 2: conversão sobre 100 A pontuação bruta é convertida para 100 por regra de três: score = (bruto / 11,5) × 100.

Etapa 3: atribuição da nota

NotaPontuação sobre 100Interpretação
A>= 90Postura excelente, conforme as melhores práticas 2026
B>= 75Boa configuração, alguns headers a completar
C>= 60Configuração parcial, headers críticos ausentes
D>= 40Postura fraca, vários security headers ausentes
F< 40Sem proteção significativa, ação urgente recomendada

Para reter: HSTS e CSP pesam juntos 4 pontos sobre 11,5, ou seja mais de um terço da pontuação. Sua ausência faz cair mecanicamente a nota em pelo menos dois degraus.

Casos de uso concretos

Incidente 1: site com nota F após reformulação

Sintoma: após migração para um novo framework, o site obtém F enquanto tinha B antes da reformulação.

Diagnóstico: o analisador revela a ausência de CSP, HSTS e X-Frame-Options. Os headers eram adicionados pelo antigo servidor Nginx, removidos durante a passagem para uma hospedagem gerenciada que não os inclui por padrão.

Ação: adicionar os security headers na configuração do novo framework (next.config.js, middleware Express, etc.) e em seguida reiniciar a análise para confirmar o retorno à nota B ou A.

Incidente 2: auditoria de conformidade bloqueada

Sintoma: o auditor relata a ausência de security headers como finding maior, bloqueando a certificação PCI DSS.

Diagnóstico: o teste de segurança de site confirma HSTS ausente, CSP ausente, Referrer-Policy não definido. O servidor Apache serve a conf padrão sem adições.

Ação: configurar as diretivas Header set no vhost Apache, fazer deploy em staging, iniciar o analisador para verificar a nota, depois enviar para produção. Refazer o teste para fornecer o relatório conforme ao auditor.

Incidente 3: clickjacking detectado em bug bounty

Sintoma: um pesquisador de segurança relata via bug bounty que pode emoldurar o painel cliente em um iframe malicioso.

Diagnóstico: o analisador mostra X-Frame-Options ausente e CSP sem diretiva frame-ancestors. O navegador autoriza, portanto, o embedding por padrão.

Ação: adicionar X-Frame-Options: DENY e frame-ancestors 'none' no CSP. Reiniciar a análise para confirmar o fechamento da falha e fechar o ticket de bug bounty.

FAQ - Perguntas frequentes

P: O que é um analisador de headers HTTP?

R: Um analisador de headers HTTP é uma ferramenta que inspeciona os headers retornados por um servidor web durante uma requisição. Ele verifica a presença e a configuração dos security headers como CSP, HSTS ou X-Frame-Options. Nosso analisador recupera esses headers HTTP, avalia sua conformidade com as boas práticas OWASP e atribui uma nota de A a F. É a base de um teste de segurança de site completo e rápido.

P: Quais security headers são indispensáveis em 2026?

R: Os headers críticos em 2026 são Content-Security-Policy (CSP) para bloquear scripts não autorizados, Strict-Transport-Security (HSTS) para forçar HTTPS, X-Content-Type-Options para impedir o MIME sniffing, X-Frame-Options ou frame-ancestors CSP contra o clickjacking, e Referrer-Policy para limitar o vazamento de URL. Permissions-Policy e Cross-Origin-Opener-Policy completam uma postura moderna. Sem esses headers HTTP, seu site continua exposto a ataques conhecidos.

P: Qual é a diferença entre CSP e HSTS?

R: CSP (Content-Security-Policy) controla as fontes autorizadas para carregar scripts, estilos, imagens ou iframes. Protege contra o XSS e a injeção de conteúdo. HSTS (Strict-Transport-Security) força o navegador a acessar o site somente via HTTPS, impedindo os ataques de downgrade. CSP age no nível do conteúdo da página, HSTS no nível do transporte. Ambos os headers HTTP são complementares e indispensáveis para uma nota de segurança elevada.

P: Como adicionar security headers ao meu site?

R: Depende do seu stack:

  • Nginx: diretivas add_header no bloco server
  • Apache: Header set em .htaccess ou na conf vhost
  • Cloudflare: Transform Rules ou Workers
  • Next.js: headers() em next.config.js
  • Express: middleware helmet
  • Laravel: middleware dedicado

Após o deploy, reinicie a análise para confirmar que os headers HTTP são retornados corretamente.

P: Security headers ausentes são uma vulnerabilidade?

R: Headers ausentes não são uma vulnerabilidade direta, mas removem camadas de defesa. Sem CSP, uma falha XSS torna-se totalmente explorável. Sem HSTS, o usuário continua vulnerável ao sslstrip em rede hostil. Sem X-Frame-Options, seu site pode ser emoldurado para clickjacking. Os auditores PCI DSS, ISO 27001 e SOC 2 consideram esses headers HTTP como controles de segurança esperados.

P: Esta ferramenta de teste de segurança de site é gratuita?

R: Sim, nosso analisador de headers HTTP é totalmente gratuito, sem cadastro nem limite de uso. Inicie quantos testes de segurança de site precisar, em qualquer URL pública. Os resultados incluem a nota de A a F, o detalhe de cada header analisado e as recomendações de configuração. Nenhum dado é mantido além do tempo necessário ao cálculo da pontuação.

Ferramentas complementares

FerramentaUtilidade
Auditoria on-page completaAnalisar o HTML, as tags SEO e os recursos de uma página
Teste HSTSVerificar o cabeçalho Strict-Transport-Security e a elegibilidade para a preload list
Análise de redirecionamentosSeguir a cadeia de redirecionamentos HTTP e detectar loops
Detecção de phishingVerificar se uma URL está sinalizada como phishing
Validação DNSSECConfirmar a assinatura criptográfica da sua zona DNS
Conformidade MTA-STSVerificar a política MTA-STS publicada para seu domínio
Monitoramento uptimeVigiar a disponibilidade dos seus endpoints HTTP em multi-região

Recursos úteis