#security

Live-On-Chain-Daten für Shentu (Chain-ID shentu-2.2) – die sicherheitsorientierte Cosmos-SDK Layer-1 des CertiK-Ökosystems, dessen nativer Token CTK ist – direkt von öffentlichen LCD/REST-Knoten mit Multi-Node-Failover bereitgestellt. Der Status-Endpunkt gibt die aktuelle Blockhöhe und -zeit, die Chain-ID, den Staking-Bond-Denom und die aktuelle Minting-Inflationsrate zurück. Der Validatoren-Endpunkt listet den aktiven gebondeten Validator-Set, sortiert nach Stake, mit jeweils Moniker, Operator-Adresse, selbst-plus-delegierten CTK, Provisionssatz und Jailed-Flag. Der Supply-Endpunkt gibt das gesamte CTK-Angebot, den im Staking gebondeten Betrag und das resultierende Bonded-Ratio zurück. Der Governance-Endpunkt gibt die aktuellsten On-Chain-Proposals mit ihrer ID, Titel, Status und Abstimmungsfenster zurück. Token-Beträge werden von Basis-Mikro-CTK (6 Dezimalstellen) in ganze CTK umgerechnet, und jede Zahl wird live von der Chain gelesen – nichts gebündelt oder modelliert – hinter einem kurzen serverseitigen Cache mit Keep-Warm, sodass der Feed schnell und aktuell bleibt. Ideal für Staking-Dashboards, Validator- und Delegator-Tools, Explorer, Governance-Tracker und Portfolio- oder Analyse-Apps im Cosmos- und Sicherheitsinfrastruktur-Ökosystem. Live keyless Upstream. 5 Endpunkte.

api.oanor.com/shentu-api

Überprüfen Sie live bereitgestellte Solana-Programme von öffentlichen Solana RPC — kein API-Key — und beantworten Sie die für die Sicherheit wichtigste Frage: Kann dieses Programm noch geändert werden, und von wem? Für jede Programm-Adresse wird der Loader, unter dem es läuft, ob es ausführbar ist, sein On-Chain-ProgramData-Konto, die Upgrade-Autorität (oder dass es unveränderlich / eingefroren wurde) und der Slot, in dem es zuletzt bereitgestellt wurde, aufgelöst. Ein Batch-Endpunkt prüft bis zu zwölf Programme auf einmal — perfekt, um die Upgrade-Autorität jedes Programms zu überprüfen, von dem ein Protokoll abhängt, bevor Sie ihm vertrauen — und ein Loaders-Endpunkt dokumentiert Solanas Programm-Loader. Abgegrenzt von Balance-, Token- und Transaktions-APIs: Dies ist die Programm- und Upgrade-Autoritäts-Ebene, auf die Auditoren, Wallets und Sicherheitstools vertrauen, um zu beurteilen, ob ein Solana-Programm sicher ist. Live von der Chain; nur kurzer Cache.

api.oanor.com/solanaprogram-api

Ermitteln Sie, ob eine Domain eine bekannte Crypto-Phishing- oder Betrugsseite ist, bevor eine Wallet oder ein Benutzer eine Verbindung herstellt – unter Verwendung der kanonischen eth-phishing-detect-Blocklist von MetaMask, derselben Liste, die Millionen von MetaMask-Benutzern schützt, schlüssellos und live. Sie führt die echte Erkennungslogik aus: einen exakten und Subdomain-Abgleich gegen die Blocklist und Allowlist sowie einen Levenshtein-Fuzzy-Abgleich gegen hochwertige ähnliche Ziele, um Typosquats wie „myetherwaliet.com“ oder „app-wallet-uniswap.org“ zu erkennen. Überprüfen Sie eine Domain oder URL auf ein Urteil (blockiert, erlaubt, fuzzy oder unbekannt) mit dem Grund, durchsuchen Sie die 190.000 Einträge umfassende Blocklist oder lesen Sie deren Statistiken. Die dApp-Verbindungssicherheitsebene, die jede Wallet, Browsererweiterung, jeder Telegram-Bot und jedes Sicherheitstool benötigt, um Benutzer zu warnen, bevor sie signieren. Live, leicht gecached.

api.oanor.com/phishingcheck-api

Lesen Sie den rohen EVM-Speicher jedes Smart Contracts live über das öffentliche JSON-RPC der Chain, decodieren Sie jedes 32-Byte-Wort als Adresse, uint oder bool und lösen Sie Proxy-Implementierungszeiger über alle gängigen Proxy-Standards auf – EIP-1967, EIP-1822/UUPS und die Legacy-OpenZeppelin/zeppelinos-Slots sowie Beacon-Proxies. So finden Sie heraus, worauf ein Proxy tatsächlich zeigt, wer sein Admin ist oder was ein Vertrag speichert – selbst für nicht verifizierte Verträge, bei denen Quellcode und ABI nicht verfügbar sind. Geben Sie eine Chain und eine Adresse an: Lesen Sie einen Slot, scannen Sie die ersten N Slots, um einen Blick auf das Zustandslayout zu werfen, oder lösen Sie automatisch die Proxy-Implementierung auf. Die On-Chain-Zustandsinspektionsebene für Auditoren, Upgrade-Monitore und Sicherheitstools, über Ethereum, Base, Arbitrum, Optimism, BNB, Polygon und mehr. Live, nur kurzer Cache.

api.oanor.com/storageslot-api

Rufen Sie den bereitgestellten EVM-Bytecode jedes Smart Contracts live von der öffentlichen JSON-RPC der Chain ab, disassemblieren Sie ihn in menschenlesbare Opcodes und extrahieren Sie die 4-Byte-Funktionsselektoren aus seinem Dispatcher. Im Gegensatz zu Source-Verifikation oder 4-Byte-Verzeichnissen funktioniert dies bei JEDEM bereitgestellten Vertrag – verifiziert oder nicht – und zeigt so die rohe On-Chain-Logik von Verträgen, für die niemand den Quellcode veröffentlicht hat. Geben Sie eine Chain und eine Adresse an und erhalten Sie den Runtime-Bytecode, eine vollständige Offset-für-Offset-Opcodedisassemblierung (paginiert) und die erkannten Funktionsselektoren. Die Reverse-Engineering-Ebene für Auditoren, MEV-Sucher und Sicherheitstools. Liest direkt von der Chain über Ethereum, Base, Arbitrum, Optimism, BNB, Polygon und mehr. Live, nur kurzer Cache.

api.oanor.com/bytecode-api

Überprüfen Sie jedes Safe (ehemals Gnosis Safe) Multisig-Smart-Wallet, schlüssellos. Für jede Safe-Adresse auf jeder unterstützten Chain gibt es die Multisig-Konfiguration zurück – die Owner-Signer, die Signaturschwelle (das M-of-N), den aktuellen Nonce, die aktivierten Module, Guard und Vertragsversion – sowie die Safe-Token-Balances (native + ERC-20, mit Symbolen und Beträgen). Die Multisig-Inspektionsebene für DAO-Tresore, Sicherheit, Due-Diligence, Wallet- und Dashboard-Tooling. Live, nichts wird gespeichert. Unterstützt durch den offenen Safe Transaction Service.

api.oanor.com/safe-api

Überprüfen Sie, ob der Quellcode eines EVM-Smart-Contracts verifiziert ist, und rufen Sie dessen ABI, Quelldateien und Bereitstellungsdetails ab, keyless. Geben Sie eine Chain-ID und eine Vertragsadresse an und erhalten Sie den Verifizierungsstatus (vollständig / teilweise / nicht verifiziert), den Compiler- und Vertragsnamen, die Bereitstellungsinformationen (Deployer, Transaktion, Block), das Contract-ABI (das JSON-Interface, das jede Integration benötigt) und den verifizierten Solidity-Quellcode. Live, nichts wird gespeichert. Die Contract-Verification / ABI-Schicht für Sicherheit, Due-Diligence, Block-Explorer, Wallet- und Dapp-Tooling – unterstützt durch das offene Sourcify-Registry, abgegrenzt von Preis-, TVL- und Chain-Registry-APIs.

api.oanor.com/contractverify-api

Live-Audit der Token-Genehmigungen (Allowances), die eine Krypto-Wallet erteilt hat, und des Risikos der Verträge, die sie zum Ausgeben ihrer Token autorisiert hat – betrieben durch die öffentlichen GoPlus Security-Daten, kein API-Key, nichts wird gespeichert. Token-Genehmigungen sind der häufigste Weg, wie Wallets geleert werden: Sobald Sie einem Vertrag erlauben, einen Token zu bewegen, kann ein böswilliger oder kompromittierter Spender ihn jederzeit nehmen. Dies ist die Allowance-Hygiene-Schicht – die Daten hinter Tools wie revoke.cash. Der Approvals-Endpunkt listet jeden Token auf, den eine Wallet genehmigt hat, wen sie genehmigt hat (den Spender-Vertrag), wie viel genehmigt wurde und wann, und ob dieser Spender als böswillig, vertrauenswürdig oder unverifiziert markiert ist, zusammen mit einer Risikozusammenfassung, die die gefährlichen Genehmigungen zum Widerrufen zählt. Der Contract-Endpunkt profiliert einen einzelnen Spender-Vertrag, bevor Sie ihn genehmigen – seinen Namen, ob er Open-Source ist, seinen Ersteller, Bereitstellungszeit und Risiko-Tags. Der Chains-Endpunkt listet die über 40 unterstützten Blockchains auf. Fangen Sie Wallet-leerende Genehmigungen ab, bevor sie einen Benutzer alles kosten. Dies ist der Genehmigungs-/Allowance-Risiko-Schnitt – unterschieden von den Token-Vertrags-Sicherheits-, Betrugserkennungs- und On-Chain-APIs im Katalog.

api.oanor.com/approvalsecurity-api

Live-Crypto-Scam-, Phishing- und dApp-Sicherheitsprüfungen für das, was ein Benutzer tatsächlich anklickt oder kauft – die Verbraucherschutzschicht, unterstützt durch die öffentlichen GoPlus-Sicherheitsdaten, kein API-Key, nichts wird gespeichert. Bevor Sie eine Wallet mit einer Website verbinden, eine Transaktion signieren oder ein NFT minten, fragen Sie, ob es sicher ist. Der Phishing-Endpunkt prüft, ob eine URL eine bekannte Crypto-Phishing-Seite ist. Der dApp-Endpunkt gibt den Audit- und Vertrauensstatus einer dezentralen App zurück – ihren Projektnamen, ob sie auditiert wurde, ob GoPlus sie als vertrauenswürdiges Projekt führt, sowie die Audit-Firmen und -Daten. Der NFT-Endpunkt scannt einen NFT-Collection-Vertrag auf Risiken – ob er verifiziert oder ein Fake ist, Open Source oder ein Proxy, ob der Besitzer Token ohne Genehmigung minten, burnen oder verschieben kann, ob die Metadaten eingefroren sind, plus die Item-, Holder- und 24-Stunden-Handelsvolumen-Zahlen. Stoppen Sie Phishing-Seiten, gefälschte NFT-Collections und nicht auditiere dApps, bevor sie einem Benutzer Geld kosten. Dies ist der Website-/dApp-/NFT-Scam-Erkennungsbereich – abgegrenzt von der Token-Contract- und Wallet-Sicherheit, der historischen Exploit-Datenbank und den Preis-APIs im Katalog.

api.oanor.com/scamcheck-api

Live-Smart-Contract-Risiko- und Sicherheitsanalyse für Krypto-Token und Wallet-Adressen – die On-Chain-Due-Diligence-Prüfung, die Sie durchführen sollten, bevor Sie einen Token kaufen oder mit einer Adresse interagieren, unterstützt durch die öffentlichen GoPlus Security-Daten, kein API-Key, nichts wird gespeichert. Der Token-Endpunkt scannt einen ERC-20-ähnlichen Vertrag auf jeder unterstützten Blockchain und gibt zurück, ob es sich um einen Honeypot handelt, die Kauf- und Verkaufssteuer, ob er mintbar ist oder einen versteckten oder privilegierten Besitzer hat, der den Handel pausieren oder das Eigentum zurücknehmen kann, ob er Open-Source oder ein Proxy ist, sowie die Anzahl der Inhaber und LP-Inhaber. Der Adress-Endpunkt überprüft eine Wallet-Adresse auf zwanzig Risikosignale – Cyberkriminalität, Geldwäsche, Phishing, Sanktionen, Diebstahlangriffe, Honeypot-bezogene Adressen und mehr – und meldet genau, welche, falls vorhanden, markiert sind. Der Chains-Endpunkt listet die 40+ unterstützten Blockchains auf. Fangen Sie Betrugs-Token, Honeypots und kontaminierte Adressen ab, bevor sie Sie etwas kosten. Dies ist die Echtzeit-Vertragssicherheits- und Risikoprüfung von Krypto – unterschieden von der historischen Exploit-Datenbank, der Preis- und den On-Chain-APIs im Katalog.

api.oanor.com/tokensecurity-api

Eine Live-Datenbank von Kryptowährungs- und DeFi-Hacks, Exploits und Diebstählen – jeder größere On-Chain-Diebstahl, der jemals aufgezeichnet wurde, basierend auf dem öffentlichen DeFiLlama-Hacks-Datensatz, kein API-Key, nichts wird gespeichert. Jeder Vorfall enthält das Opfer, den gestohlenen Betrag in US-Dollar, das Datum, die Angriffstechnik (Flash-Loan-Oracle-Manipulation, Reentrancy, Kompromittierung privater Schlüssel, Access-Control-Exploit und mehr), eine übergeordnete Klassifizierung, die beteiligte(n) Chain(s), den Zieltyp (DeFi-Protokoll, zentralisierte Börse, Bridge, Wallet, Token) und wie viel, falls vorhanden, später zurückgegeben wurde. Der Hacks-Endpunkt gibt die Vorfallsliste neueste zuerst zurück, filterbar nach Chain, Technik, Zieltyp, Klassifizierung, Jahr und Mindestverlust. Der Biggest-Endpunkt listet die größten Exploits aller Zeiten nach gestohlenen Dollar auf – von den milliardenschweren Bridge- und Börsenverstößen abwärts. Der Stats-Endpunkt aggregiert den gesamten Datensatz: Gesamtgestohlenes, Anzahl der Vorfälle, zurückgegebene Gelder und Aufschlüsselungen nach Angriffstechnik, Chain, Zieltyp und Jahr. Dies ist der Crypto-Sicherheits- und Exploit-Verlaufsschnitt – Risiko- und Post-Mortem-Daten, die sich von den Preis-, Markt-, TVL-, Gebühren- und On-Chain-APIs im Katalog unterscheiden.

api.oanor.com/cryptohacks-api

Geburtstagsparadoxon- und Kollisionswahrscheinlichkeits-Mathematik als API, lokal und deterministisch berechnet. Der Wahrscheinlichkeits-Endpunkt berechnet die Chance, dass mindestens zwei von n Personen an einem von d gleich wahrscheinlichen Tagen Geburtstag haben, P = 1 − Π(1 − i/d), ausgewertet im logarithmischen Raum für Genauigkeit – das berühmte Ergebnis, dass bereits 23 Personen eine Wahrscheinlichkeit von etwa 50,7 % ergeben, 50 Personen etwa 97 % und 70 Personen etwa 99,9 %. Der Personenbedarfs-Endpunkt kehrt es um: die kleinste Gruppengröße, um eine Zielwahrscheinlichkeit zu erreichen (23 für 50 %, 57 für 99 %), mit der Näherung √(2·d·ln(1/(1−p))). Der Kollisions-Endpunkt verallgemeinert die Geburtstagsgrenze auf beliebige Räume – übergeben Sie eine Anzahl von Buckets oder eine Hash-Größe in Bits – und gibt die Kollisionswahrscheinlichkeit P ≈ 1 − e^(−n²/2d) zurück, die Regel hinter Hash-Kollisionen und UUID-Eindeutigkeitsschätzungen, wobei eine 50 %-Chance etwa 1,177·√d Elemente benötigt. Tage und Buckets standardmäßig 365. Alles wird lokal und deterministisch berechnet, daher ist es sofort und privat. Ideal für Wahrscheinlichkeitsbildung, Sicherheit, Kryptographie, Hashing, Datenengineering und Statistik-App-Entwickler, Kollisionsrisiko- und Geburtstagsproblem-Tools sowie Lehrmaterial. Reine lokale Berechnung – kein Schlüssel, kein Drittanbieterdienst, sofort. Live, nichts gespeichert. 3 Endpunkte. Dies ist die Geburtstags-/Kollisionswahrscheinlichkeit; für vollständige Verteilungen verwenden Sie eine Wahrscheinlichkeits-API.

api.oanor.com/birthdayparadox-api

Erstellen Sie korrekte CORS-Antwortheader und bewerten Sie Preflight-Anfragen – ohne jedes Mal die Spezifikation erneut lesen zu müssen. Der Headers-Endpunkt wandelt eine einfache Richtlinie (erlaubte Ursprünge, Methoden, Anfrageheader, ob Anmeldeinformationen erlaubt sind, eine Preflight-Max-Age und alle offengelegten Antwortheader) in die genaue Menge der Access-Control-*-Header um, die zurückgegeben werden sollen, und behandelt die Teile, die Leute falsch machen: Sie können einen Wildcard-Ursprung nicht mit Anmeldeinformationen kombinieren, daher spiegelt er den spezifischen Anfrageursprung wider und fügt stattdessen Vary: Origin hinzu; er lässt den Allow-Origin-Header weg, wenn ein Ursprung nicht in Ihrer Liste ist; und er warnt, wenn eine Konfiguration sich nicht wie erwartet verhalten würde. Der Check-Endpunkt nimmt eine eingehende Anfrage – ihren Ursprung, die (angeforderte) Methode und die Access-Control-Request-Headers – und teilt Ihnen mit, ob sie CORS bestehen würde, den genauen Grund, wenn sie fehlschlägt, und die Antwortheader, die Sie zurücksenden sollten. Alles wird lokal und deterministisch berechnet, daher ist es sofort und privat. Ideal für API-Gateways und Backends, Edge- und Serverless-Funktionen, Debugging von Browser-CORS-Fehlern und die genaue Einhaltung einer Sicherheitsrichtlinie. Reine lokale Berechnung – kein Schlüssel, kein Drittanbieterdienst, sofort. Live, nichts gespeichert. 3 Endpunkte. Dies erstellt und prüft die Header; es führt keine Cross-Origin-Anfrage durch – um die Sicherheitsheader einer Live-Site zu überprüfen, verwenden Sie eine Security-Headers-API.

api.oanor.com/cors-api

Erkennen und schwärzen Sie personenbezogene Daten (PII) in Freitext. Es findet E-Mail-Adressen, Telefonnummern, Kreditkartennummern (Luhn-geprüft, um Fehlalarme zu reduzieren), IPv4- und IPv6-Adressen, US-Sozialversicherungsnummern und IBANs und maskiert jede einzelne – mit einem typbezogenen Label wie [EMAIL], einem festen Ersatzstring oder einem einzelnen Zeichen, das auf die ursprüngliche Länge wiederholt wird. Ein Detect-Endpunkt gibt jede Übereinstimmung mit Typ und Position zurück, ohne den Text zu ändern. Perfekt zum Bereinigen von Logs und Support-Transkripten, zum Anonymisieren von Daten vor der Weitergabe oder dem Senden an Dritte sowie für Datenschutz- und Compliance-Vorprüfungen. Reine lokale Berechnung – Text verlässt niemals den Server, kein Schlüssel, kein Dritter, sofort; bis zu 200.000 Zeichen per POST. Live, nichts wird gespeichert. 3 Endpunkte. Regex-basiert und nach bestem Wissen und Gewissen – vor der Verwendung für rechtliche Compliance prüfen. Abgegrenzt von Stimmungs-, Obszönitäts- und allgemeiner Textverarbeitung.

api.oanor.com/redact-api

Escape einen String, sodass er sicher in einen bestimmten Kontext eingefügt werden kann. Wählen Sie ein Ziel – einen regulären Ausdruck (damit der Text wörtlich übereinstimmt), einen Shell-Befehl (POSIX-Einfach-Anführungszeichen), einen JSON-String, ein CSV-Feld (RFC 4180-Zitierung) oder ein SQL-String-Literal – und erhalten Sie den korrekt escapeten Wert sowie eine kurze Notiz zur angewendeten Regel. Der Contexts-Endpunkt listet jedes Ziel mit einem ausgearbeiteten Beispiel auf. Perfekt für Codegenerierung, Erstellung von Befehlen und Abfragen, Templating und Datenexport sowie sicheres Einfügen von Benutzereingaben. Reine lokale Berechnung – kein Schlüssel, kein Drittanbieter-Service, sofort. Live, nichts wird gespeichert. 3 Endpunkte. Der SQL-Kontext ist ein zitiertes Literal der Einfachheit halber, kein Ersatz für parametrisierte Abfragen. Unterscheidet sich von base64/hex/URL/HTML-Entity-Kodierern.

api.oanor.com/escape-api

Generieren Sie kryptografische Schlüsselpaare auf Abruf — RSA (2048/3072/4096), elliptische Kurven (P-256, P-384, P-521, secp256k1), Ed25519 und Ed448 — zurückgegeben als PEM (SPKI öffentlicher Schlüssel, PKCS#8 privater Schlüssel) und optional als JWK. Perfekt zum Erstellen von JWT/JWS-Signaturschlüsseln, TLS- und SSH-Experimenten, Testvorrichtungen und Demos. Reine lokale Generierung mit Node's crypto (kein Drittanbieterdienst). Hinweis: Für Entwicklung, Tests und Bildung — generieren Sie Schlüssel für Produktionssysteme offline oder in einem HSM, vertrauen Sie niemals einer entfernten API echte private Schlüssel an. Live, nichts gespeichert. 3 Endpunkte. Unterscheidet sich von JWT-Signierung, Passwortgenerierung und Hashing.

api.oanor.com/keypair-api

Machen Sie nicht vertrauenswürdiges HTML sicher anzeigbar. Senden Sie beliebiges HTML – einen Kommentar, eine Rich-Text-Einreichung, einen Ausschnitt aus einer E-Mail oder einer gescrapten Seite – und erhalten Sie eine saubere, XSS-freie Version zurück: <script>-Tags, Inline-Event-Handler (onclick, onerror), javascript:-URLs, <iframe>, <style> und alles, was nicht auf der Whitelist steht, wird entfernt. Überschreiben Sie die erlaubten Tags und Attribute nach Ihren Bedürfnissen oder entfernen Sie Links vollständig. Ein strip-Endpunkt gibt reinen Text ohne Markup zurück. Reine lokale Bereinigung – kein Schlüssel, kein Drittanbieter-Dienst, sofort. Live. 3 Endpunkte. Entwickelt für benutzergenerierte Inhalte, Kommentarsysteme, Rich-Text-Editoren, E-Mail-Rendering und überall dort, wo nicht vertrauenswürdiges HTML einen Browser erreicht. Unterscheidet sich von einem Markdown-Renderer oder einem HTML-Datenextraktor.

api.oanor.com/htmlsanitize-api

Erkennen Sie den wahren Typ einer Datei anhand ihres Inhalts – ihrer magischen Bytes / binären Signatur – nicht anhand ihres Namens. Senden Sie eine Datei per URL oder base64 und erhalten Sie die tatsächliche Erweiterung und den MIME-Typ zurück, wobei über 100 binäre Formate erkannt werden: Bilder (PNG, JPEG, GIF, WebP, AVIF, HEIC), Audio und Video (MP3, MP4, WAV, FLAC, MKV), Archive (ZIP, GZIP, 7z, RAR, TAR), Dokumente (PDF, DOCX, XLSX), Schriftarten und mehr. Optional können Sie einen Dateinamen übergeben, um eine gefälschte Erweiterung zu kennzeichnen (z. B. eine PNG-Datei, die in .txt umbenannt wurde). Textformate wie TXT, CSV, JSON und SVG haben keine Signatur und geben detected=false zurück. Die Erkennung erfolgt lokal – kein Schlüssel, kein Drittanbieterdienst. Live, nichts wird gespeichert. 2 Endpunkte. Entwickelt für sichere Upload-Validierung, Anti-Spoofing-Prüfungen, Content-Pipelines und Forensik. Unterscheidet sich von einer Erweiterungs-zu-MIME-Suche.

api.oanor.com/filetype-api

Überprüfen Sie die SMTP-Transport-Sicherheitslage einer Domain – ob Mailserver verpflichtet sind, eingehende E-Mails über authentifiziertes TLS zuzustellen, um sie vor Downgrade- und Man-in-the-Middle-Angriffen zu schützen. Geben Sie eine Domain an, und der Dienst ruft die MTA-STS-Richtliniendatei von mta-sts.<domain>/.well-known/mta-sts.txt (deren Version, Modus, die erlaubten MX-Hosts und max_age), den _mta-sts-DNS-TXT-Eintrag (dessen Richtlinien-ID) und den _smtp._tls-TLS-RPT-Eintrag (die rua-Berichtsadresse) ab und meldet dann, ob MTA-STS tatsächlich durchgesetzt wird, sowie eine priorisierte Liste von Problemen – keine Richtliniendatei, kein DNS-Eintrag, ein Modus von nur "testing" oder ein fehlender TLS-RPT-Eintrag. Ein zweiter Endpunkt gibt nur die geparste Richtliniendatei zurück. Die Anfrage wird serverseitig gestellt, und private/interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für E-Mail-Zustellbarkeits- und Anti-Downgrade-Angriffs-Audits, Anbieter- und Drittanbieterbewertungen sowie Compliance. Ein MTA-STS-/TLS-RPT-Prüfer – das Gegenstück zur E-Mail-Authentifizierungsanalyse (emailsec, die SPF, DKIM und DMARC abdeckt) und unterscheidet sich von der reinen DNS-Abfrage (dns). Kein Upstream-Schlüssel, kein Cache.

api.oanor.com/mtasts-api

Untersuchen Sie jeden OpenID Connect / OAuth 2.0-Anbieter. Übergeben Sie einen Issuer (eine Domain, eine Issuer-URL oder die vollständige Discovery-URL) und der Dienst ruft das Discovery-Dokument des Anbieters unter /.well-known/openid-configuration ab, analysiert jeden Endpunkt – Autorisierung, Token, Userinfo, JWKS, Registrierung, End-Session, Introspection, Revocation und Device-Authorization – zusammen mit den unterstützten Scopes, Response-Typen, Grant-Typen, ID-Token-Signieralgorithmen, PKCE-Methoden und Claims, ruft dann die JWKS ab und fasst deren Signaturschlüssel zusammen (Anzahl, Algorithmen, Schlüsseltypen und Schlüssel-IDs) und meldet eine Gültigkeitsprüfung mit etwaigen Problemen. Ein zweiter Endpunkt ruft einen beliebigen JSON Web Key Set eigenständig ab und fasst ihn zusammen. Die Anfrage wird serverseitig gestellt und private/interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für SSO- und OAuth/OIDC-Integration, Identity-Provider-Konfigurations-Debugging (Auth0, Okta, Keycloak, Azure AD, Google), Sicherheitsüberprüfung und Überwachung des Signaturschlüssel-Rotations. Ein OIDC Discovery / JWKS-Inspektor – abgegrenzt vom JWT-Toolkit (jwt), dem security.txt-Parser (securitytxt) und dem HTTP-Sicherheitsheader-Bewerter (secheaders). Kein Upstream-Key, kein Cache.

api.oanor.com/oidc-api

Generieren Sie Subresource Integrity (SRI)-Hashes für jedes Web-Asset, damit Browser überprüfen können, ob ein von einem CDN gehostetes Skript oder Stylesheet nicht manipuliert wurde. Übergeben Sie eine URL, und der Dienst ruft das Asset ab und gibt seine sha256-, sha384- und sha512-SRI-Hashes zurück, den gewählten Integritätswert (standardmäßig sha384, oder übergeben Sie Ihren bevorzugten Algorithmus), die Größe und den Inhaltstyp des Assets sowie ein fertiges <script>- oder <link>-Tag mit den Attributen integrity und crossorigin. Ein Verify-Endpunkt ruft das Asset erneut ab und teilt Ihnen mit, ob es noch mit einem bekannten Integritätsstring übereinstimmt – und erkennt so stille CDN-Änderungen oder Lieferkettenmanipulationen, bevor Ihre Benutzer darauf stoßen. Die Anfrage wird serverseitig durchgeführt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für die Sicherung von Drittanbieter-Skripten, Härtung der Lieferkette, Build-Pipelines und CSP/SRI-Compliance. Ein Subresource Integrity-Generator und -Verifizierer – abgegrenzt vom rohen kryptografischen Hashen von Eingabedaten (hash), dem HTTP-Sicherheitsheader-Bewerter (secheaders) und der SSL/TLS-Zertifikatsprüfung (sslcheck). Kein Upstream-Key, kein Cache.

api.oanor.com/sri-api

Priorisieren Sie CVEs nach dem Risiko der tatsächlichen Ausnutzung – nicht nur nach Schweregrad. Kombiniert den FIRST.org EPSS-Score (die Wahrscheinlichkeit, 0 bis 1, dass ein CVE in den nächsten 30 Tagen ausgenutzt wird, mit seinem Perzentil-Rang) und den CISA KEV-Katalog (Schwachstellen, die nachweislich aktiv in freier Wildbahn ausgenutzt werden – mit Anbieter, Produkt, Datum der Aufnahme, Fälligkeitsdatum der Behebung und ob der Fehler in Ransomware-Kampagnen verwendet wird) und leitet eine einzelne Prioritätsstufe für jedes CVE ab. Rufen Sie bis zu 25 CVEs in einem Aufruf ab, durchsuchen Sie den vollständigen CISA-Katalog bekannter ausgenutzter Schwachstellen, gefiltert nach Anbieter, Produkt oder Ransomware-Nutzung, oder listen Sie die CVEs mit den höchsten aktuellen EPSS-Werten auf. Entwickelt für Schwachstellenmanagement, Patch-Priorisierung, Risikobewertung und Sicherheits-Dashboards – beantwortet nicht „wie schlimm könnte das sein?“, sondern „wie wahrscheinlich ist es, dass es tatsächlich ausgenutzt wird?“. Eine Schwachstellen-Priorisierungsschicht – unterschieden von rohen CVE-Details und CVSS-Schweregrad (cve), Passwort-Panne-Prüfungen (pwned) und dem HTTP-Sicherheitsheader-Bewerter (secheaders). Daten live von FIRST.org und CISA. Kein Upstream-Schlüssel, kein Cache.

api.oanor.com/vulnintel-api

Überprüfen Sie die E-Mail-Authentifizierungsposition einer beliebigen Domain – ihren Schutz vor Spoofing und Phishing – über Live-DNS. Übergeben Sie eine Domain, und der Dienst sucht und validiert SPF (den v=spf1-Eintrag, seinen All-Qualifier und das 10-Lookup-Limit), DMARC (die _dmarc-Richtlinie p=none/quarantine/reject, plus sp, pct und rua/ruf-Berichtsadressen), DKIM (durch Abfragen der gängigen Selektoren unter selector._domainkey, oder übergeben Sie Ihren eigenen), BIMI und die MX-Server – und gibt dann eine Note von A+ bis F mit einer priorisierten Liste von Problemen und konkreten Ratschlägen zurück. Ein zweiter Endpunkt analysiert den DMARC-Eintrag Tag für Tag mit einer verständlichen Interpretation der Richtlinie. Entwickelt für E-Mail-Zustellbarkeits- und Anti-Spoofing-Audits, Lieferanten- und Drittanbieter-Risikobewertungen, Sicherheits-Onboarding und kontinuierliche Überwachung. Ein E-Mail-Authentifizierungsanalysator – abgegrenzt von Postfach-/Adressvalidierung (email), rohem DNS-Eintrags-Lookup (dns) und dem HTTP-Sicherheitsheader-Bewerter (secheaders). Reines Live-DNS, kein vorgeschalteter Schlüssel, kein Cache.

api.oanor.com/emailsec-api

Rufen Sie die RFC 9116 security.txt einer beliebigen Domain ab und parsen Sie sie – die maschinenlesbare Datei unter /.well-known/security.txt, die Sicherheitsforschern mitteilt, wie sie Schwachstellen melden können. Übergeben Sie eine Domain, und der Dienst lokalisiert die Datei (den kanonischen .well-known-Pfad mit einem Legacy-Root-Fallback), parst jedes Feld – Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring und CSAF – und meldet, ob sie gültig ist (mindestens ein Contact und ein einzelnes, nicht abgelaufenes Expires), ob sie PGP-signiert ist, ob sie abgelaufen ist (mit der Anzahl verbleibender Tage) und eine Liste von Problemen mit konkreten Ratschlägen. Ein begleitender Endpunkt gibt die Rohdatei zurück. Die Anfrage wird serverseitig gestellt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Sicherheitsaudits, Lieferanten- und Drittanbieter-Risikobewertungen, Angriffsflächenüberprüfungen und Compliance-Prüfungen von Richtlinien zur Offenlegung von Schwachstellen. Ein security.txt-Parser und -Validator – unterschieden vom HTTP-Sicherheitsheader-Grader (secheaders), der SSL/TLS-Zertifikatsprüfung (sslcheck) und der Host-Erreichbarkeit (hostcheck). Kein Upstream-Key, kein Cache.

api.oanor.com/securitytxt-api

Rufen Sie eine beliebige URL ab und analysieren Sie deren HTTP-Antwort-Sicherheitsheader – bewerten Sie die Website von A+ bis F, so wie es securityheaders.com und Mozilla Observatory tun. Übergeben Sie eine URL, und der Dienst führt die Anfrage serverseitig aus (folgt Weiterleitungen) und meldet dann, welche Schutzheader vorhanden sind, welche fehlen (mit konkreten Abhilfeempfehlungen) und welche Antwortheader Informationen preisgeben. Bewertete Header umfassen Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy und Cross-Origin-Opener-Policy; informationspreisgebende Header umfassen Server und X-Powered-By. Ein begleitender Endpunkt gibt jeden rohen Antwortheader zurück. Private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Sicherheitsaudits, CI/CD-Sicherheitsgateways, Angriffsflächenüberprüfungen und Compliance-Checks. Ein Sicherheitsheader-Bewerter – unterschieden von der SSL/TLS-Zertifikatsprüfung (sslcheck), der Host-Erreichbarkeit (hostcheck), der IANA-HTTP-Statuscode-Referenz (http) und der On-Page-SEO-Prüfung (seo). Kein vorgeschalteter Schlüssel, kein Cache.

api.oanor.com/secheaders-api

Schlagen Sie das Live-Tor-Netzwerk als API nach — unterstützt durch den offiziellen Onionoo-Dienst des Tor-Projekts und die kanonische Bulk-Exit-Node-Liste. Überprüfen Sie, ob eine IPv4- oder IPv6-Adresse ein Tor-Relay ist (is_tor_relay) und ob es sich um einen Exit-Knoten handelt, über den Clients das Netzwerk verlassen (is_exit_node, abgeglichen mit der Bulk-Exit-Liste). Geben Sie den vollständigen passenden Relay-Datensatz zurück: Spitzname, Fingerabdruck, Flags, Land, autonomes System, beworbene Bandbreite, Exit-Policy-Zusammenfassung sowie Daten des ersten/letzten Sehens. Oder durchsuchen Sie die öffentliche Relay-Liste nach Spitzname, Fingerabdruck, IP, Land oder Flag (Exit, Guard, Fast, Stable…) mit Seitenumbruch. Entwickelt für Betrugs- und Missbrauchs-Triage, Login-Risiko-Bewertung, Kommentar- und Registrierungsfilterung sowie Netzwerkforschung — um auf einen Blick zu erkennen, ob eine Verbindung aus dem Tor-Netzwerk stammt. Bereichsdaten werden live vom Tor-Projekt abgerufen, daher sind sie immer aktuell. Eine Tor-Netzwerk-Abfrage — abgegrenzt von Cloud/CDN-Zuordnung (cloudips), IP-Geolokalisierung (ipgeo), ASN/BGP-Besitz (asn, ripestat) und Offen-Port-Exposition (internetdb). Kein Upstream-Schlüssel, kein Cache.

api.oanor.com/tor-api

Ordnen Sie jede IP-Adresse dem Cloud-Anbieter, CDN, der Region und dem Dienst zu, dem sie gehört – basierend auf den offiziellen, öffentlich veröffentlichten IP-Bereichslisten von AWS, Google Cloud, Cloudflare, Oracle Cloud (OCI), Fastly und GitHub. Übergeben Sie eine IPv4- oder IPv6-Adresse und erhalten Sie jeden passenden Präfix mit seinem Anbieter, seiner Region/seinem Umfang und seinem Dienst, plus ein is_cloud-Flag, das Ihnen auf einen Blick sagt, ob die Adresse zu einer bekannten Cloud oder einem CDN gehört – oder listen Sie die veröffentlichten Bereiche eines einzelnen Anbieters auf, gefiltert nach Region, Dienst und IP-Version. Entwickelt für Firewall-Allowlists, Missbrauchs- und Betrugs-Triage, Bot- und Egress-Klassifizierung, SSRF-Abwehr und um zu wissen, ob eingehender oder ausgehender Verkehr von einer Cloud oder einem CDN stammt. Bereichsdaten werden live aus den kanonischen öffentlichen Listen jedes Anbieters abgerufen, sodass sie immer aktuell sind. Ein Cloud/CDN-IP-Zuordnungsdienst – unterschieden von IP-Geolokalisierung (ipgeo), ASN/BGP-Besitz (asn, ripestat), Offen-Port-Exposition (internetdb) und den IANA-Port/Protokoll-Registern (netports, ipprotocols). Kein vorgeschalteter Schlüssel, kein Cache.

api.oanor.com/cloudips-api

Sehen Sie, was ein beliebiger Host dem Internet aussetzt – als API über Shodans kostenlose InternetDB. Geben Sie eine IPv4/IPv6-Adresse (oder einen Hostnamen, der in seine IP aufgelöst wird) an und erhalten Sie die Angriffsfläche dieses Hosts: die offenen Ports (mit üblichen Dienstnamen annotiert), die darauf erkannten Produkte und Technologien (CPEs), seine Reverse-Hostnamen, Shodans Klassifikations-Tags und die bekannten Schwachstellen (CVE-IDs), die auf seinen Diensten beobachtet wurden. Eine dedizierte Schwachstellenansicht gibt nur die CVEs zurück und ob der Host angreifbar erscheint. Es ist schnell, benötigt keinen Schlüssel und ist für Sicherheits-, Asset-Erkennungs-, externe Angriffsflächenüberwachungs- und Reconnaissance-Workflows konzipiert. Eine Netzwerkexpositions-/Angriffsflächen-Ressource – unterschieden von IP-Geolokalisierung (wo sich eine Adresse befindet), dem IANA-Port-Register (was eine Portnummer bedeutet) und CVE-Datenbanken (was eine Schwachstelle ist). Daten von Shodan InternetDB (kostenlos / nicht-kommerziell nutzbar).

api.oanor.com/internetdb-api

Überprüfen Sie, ob ein Passwort in bekannten Datenlecks aufgetaucht ist – als API über Have I Been Pwneds Pwned Passwords-Korpus (800+ Millionen einzigartige kompromittierte Passwörter). Es verwendet k-Anonymität: Nur die ersten 5 Zeichen des SHA-1-Hashs eines Passworts werden jemals upstream gesendet, sodass das Passwort selbst nie vollständig das System verlässt. Übergeben Sie ein Passwort (im Speicher gehasht, niemals gespeichert oder protokolliert – senden Sie es per POST, damit es nie in einer URL/einem Log erscheint) oder einen SHA-1-Hash, um zu erfahren, ob es kompromittiert wurde und wie oft; oder rufen Sie einen rohen k-Anonymitätsbereich für ein 5-stelliges Hash-Präfix ab und führen Sie den Abgleich vollständig auf Ihrer eigenen Seite durch, um eine Null-Passwort-Exposition zu erreichen. Das Screening von Anmeldungen und Passwortzurücksetzungen gegen Listen kompromittierter Passwörter wird von NIST 800-63b empfohlen, und dies ermöglicht eine einmalige Überprüfung. Eine Sicherheitsressource für Sicherheitsverletzungen / Anmeldeinformationen – unterscheidet sich von Passwortgeneratoren, kryptografischem Hashing und bcrypt. Offene Daten von Have I Been Pwned (Troy Hunt), CC BY 4.0.

api.oanor.com/pwned-api

Software-Supply-Chain- und Abhängigkeitsintelligenz als API, unterstützt von deps.dev – Googles Open Source Insights-Dienst. Über sechs Paket-Ökosysteme (npm, PyPI, Maven, Cargo, Go und NuGet) beantwortet es Fragen, die ein Register nicht beantworten kann: Was zieht die Installation dieses Pakets tatsächlich nach sich und wie gesund ist das dahinterstehende Projekt? Listen Sie die veröffentlichten Versionen eines Pakets und seine Standardversion auf; lesen Sie die deklarierten Lizenzen einer bestimmten Version, die Schlüssel bekannter Sicherheitshinweise, nützliche Links (Quellcode-Repository, Homepage, Issue-Tracker) und verwandte Projekte; lösen Sie den vollständigen TRANSITIVEN Abhängigkeitsgraphen einer Version auf – die Gesamtzahl der Abhängigkeiten, die direkten Abhängigkeiten und jeden transitiven Knoten mit seiner exakten aufgelösten Version und ob es sich um eine direkte oder indirekte Abhängigkeit handelt; und schlagen Sie den OpenSSF Scorecard eines Quellprojekts nach – die Gesamtsicherheitsbewertung plus Ergebnisse pro Prüfung für Maintained, Code-Review, Branch-Protection, Dangerous-Workflow, Vulnerabilities und mehr – zusammen mit seinen Sternen, Forks, offenen Issues, Lizenz und Homepage. Für Go-Module und Maven-Artefakte ist der Paketname der vollständige Modulpfad oder group:artifact (automatisch URL-kodiert). Ideal für Abhängigkeitsaudits, SBOM-Anreicherung, Supply-Chain-Risikobewertung und Lizenz-Compliance-Tools. Daten von deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

Die Open Source Vulnerabilities-Datenbank (OSV / osv.dev) als API – die Supply-Chain-Sicherheitsprüfung für Open-Source-Abhängigkeiten. Scannen Sie jede Paketversion (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex und mehr) und erfahren Sie sofort, ob sie von bekannten Schwachstellen betroffen ist, mit dem Schweregrad jeder Empfehlung, CVSS-Score, CVE-Aliasen, CWE-Schwäche und Referenzen; listen Sie alle jemals für ein Paket veröffentlichten Empfehlungen auf; und schlagen Sie eine einzelne Empfehlung (GHSA, PYSEC, GO, RUSTSEC, CVE…) im vollständigen Detail nach, einschließlich der betroffenen Pakete und Versionsbereiche. Live aus Googles offizieller OSV.dev-Datenbank, die GitHub Security Advisories, PyPA, RustSec, Go und viele andere Quellen aggregiert. Ideal für Abhängigkeitsscans, SBOM und Supply-Chain-Tooling, CI-Sicherheitsgates und DevSecOps-Dashboards. Offene Daten.

api.oanor.com/osv-api

Überprüfen Sie das SSL/TLS-Zertifikat einer beliebigen Website als API. Übergeben Sie eine Domain und der Dienst führt einen Live-TLS-Handshake durch und gibt den Betreff und Aussteller des Zertifikats, das Gültigkeitsfenster, die genaue Anzahl der Tage bis zum Ablauf, ob es derzeit gültig und von einer Standard-CA-Kette vertrauenswürdig ist, das ausgehandelte TLS-Protokoll, die Seriennummer, den SHA-256-Fingerabdruck, die Schlüsselgröße und die vollständige Liste der Subject Alternative Names (SANs) zurück. Ein schlanker Ablauf-Endpunkt gibt einen einfachen Status ok / expiring_soon / expired zurück, perfekt für Uptime- und Zertifikatablauf-Überwachung, Dashboards, CI-Prüfungen und Sicherheitstools. In sich geschlossen – kein Drittanbieterdienst. IP-Adressen und interne Hosts werden nicht unterstützt.

api.oanor.com/sslcheck-api

Suchen Sie nach Software-Schwachstellen anhand ihrer CVE-Kennung und erhalten Sie saubere, strukturierte Details — Titel, Beschreibung, CVSS-Score, Schweregrad und Vektor, CWE-Schwachstellentypen, betroffene Anbieter und Produkte mit Versionsbereichen sowie Referenzlinks — plus durchsuchen Sie alle CVEs, die einen bestimmten Anbieter oder ein bestimmtes Produkt betreffen, und streamen Sie die zuletzt veröffentlichten CVEs. Bezogen vom CIRCL CVE Search Service über die offiziellen CVE Record 5.1-Daten und als übersichtliches JSON über eine schnelle, zuverlässige API zurückgegeben. Ideal für Schwachstellenmanagement und SOC-Tools, DevSecOps- und SCA-Pipelines, Sicherheits-Dashboards, Compliance- und Asset-Risikoüberwachung.

api.oanor.com/cve-api

Hashen und Verifizieren von Passwörtern mit bcrypt, serverseitig. Generieren Sie einen gesalzenen bcrypt-Hash mit einem von Ihnen gewählten Kostenfaktor (4–14), überprüfen Sie ein Klartext-Passwort gegen einen vorhandenen Hash oder untersuchen Sie einen Hash, um seine bcrypt-Version, Kostenfaktor und Salt auszulesen. Vollständig kompatibel mit bcrypt-Hashes von PHP ($2y$), Node, Python und anderen, sodass Sie vorhandene Anmeldeinformationen verifizieren und migrieren können. Reine serverseitige Berechnung ohne Drittanbieter-Upstream, daher immer verfügbar – und es entlastet Ihre eigenen Server von der bewusst CPU-intensiven Hashing-Arbeit. Ideal zum Hinzufügen von Passwortauthentifizierung, Anmeldedatenmigration, Auth-Tooling, Tests und No-Code-Backends.

api.oanor.com/bcrypt-api

Fügen Sie Zwei-Faktor-Authentifizierung hinzu und testen Sie sie, ohne sich mit einer Kryptobibliothek herumschlagen zu müssen. Generieren Sie ein neues Base32-Geheimnis mit einer scanbereiten otpauth-URI, berechnen Sie den aktuellen zeitbasierten Einmalcode (RFC 6238), verifizieren Sie einen von einem Benutzer übermittelten Code mit einem einstellbaren Driftfenster oder erstellen Sie eine otpauth://-URI für jedes Geheimnis. Unterstützt SHA-1, SHA-256 und SHA-512, 6 bis 8 Ziffern und einen benutzerdefinierten Zeitraum und ist vollständig kompatibel mit Google Authenticator, Authy, 1Password und anderen Authentifikator-Apps. Reine serverseitige Berechnung ohne Drittanbieter-Upstream, sodass Antworten sofort erfolgen und der Dienst immer verfügbar ist. Ideal zum Hinzufügen von 2FA zu Apps, Authentifizierungstools, QA und Tests sowie No-Code-Automatisierung.

api.oanor.com/totp-api

Ein schnelles, vollständig lokales JSON-Web-Token-Toolkit: Signieren Sie eine JSON-Nutzlast in ein JWT, verifizieren Sie eine Token-Signatur zusammen mit ihren exp- und nbf-Ansprüchen mittels eines konstanten Zeitvergleichs, und decodieren Sie einen Token-Header und die Nutzlast ohne Verifizierung. Unterstützt die HMAC-Algorithmen HS256, HS384 und HS512, fügt automatisch den iat-Anspruch und einen exp-Anspruch aus expires_in hinzu. Basiert auf Node crypto und Geheimnisse werden nie protokolliert, sodass Antworten sofort, privat und immer verfügbar sind. Jeder Endpunkt akzeptiert Eingaben über die Abfragezeichenfolge oder den Anforderungstext. Ideal für Authentifizierung, API-Gateways, Sitzungs- und Token-Werkzeuge, Microservices und Webhooks.

api.oanor.com/jwt-api

Ein schnelles, vollständig lokales MIME- und Dateityp-Toolkit: Schlagen Sie den MIME-Typ, den Zeichensatz und die Kategorie für einen Dateinamen oder eine Erweiterung nach, listen Sie alle für einen MIME-Typ registrierten Dateierweiterungen auf und erkennen Sie den tatsächlichen Typ einer Datei anhand ihrer führenden Magic Bytes (über 40 Signaturen, einschließlich RIFF-Container-Disambiguierung für WEBP, WAV und AVI), wobei Hex- oder Base64-Eingabe akzeptiert wird. Jeder Endpunkt akzeptiert Eingaben über die Abfragezeichenfolge oder den Anforderungstext. Reine serverseitige Berechnung, kein externer Upstream, daher sind Antworten sofort und immer verfügbar. Ideal für Upload-Validierung, Sicherheit (Überprüfung des tatsächlichen Dateityps gegen die behauptete Erweiterung), CDNs und Content-Pipelines.

api.oanor.com/mime-api

Ein schnelles, vollständig lokales Passwort-Toolkit: Generieren Sie kryptografisch sichere Zufallspasswörter (konfigurierbare Länge, Zeichenklassen und Ähnlichkeitsausschluss), schätzen Sie die Passwortstärke (Entropiebits, ein 0-4-Score, Zeichenklassen-Aufschlüsselung, Erkennung häufiger Passwörter, eine Offline-Knackzeit-Schätzung und umsetzbares Feedback) und erstellen Sie einprägsame Diceware-ähnliche Passphrasen. Basierend auf Node crypto, keine Drittanbieter-Upstreams, und Eingaben werden nie protokolliert – daher sind Antworten sofort, privat und immer verfügbar. Ideal für Anmelde- und Kontoflüsse, Admin-Tools, Passwortmanager und Sicherheitsfunktionen.

api.oanor.com/password-api

Durchsuchen und suchen Sie die offizielle FBI-Fahndungsliste — Flüchtige, vermisste Personen, Terroristen und Fälle zur Informationssuche — mit Anklagen, Warnhinweisen, Belohnungen, Personenbeschreibungen, Außenstellen und Fotos. Nützlich für Nachrichten, öffentliche Sicherheit, Sicherheitsforschung und OSINT-Apps.

api.oanor.com/fbi-api

Lösen Sie DNS-Einträge auf — A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR — für jede Domain, rufen Sie alle gängigen Einträge in einem einzigen Aufruf ab oder führen Sie eine reverse PTR-Abfrage für eine IPv4-Adresse durch. Unterstützt durch Google DNS-over-HTTPS. Ideal für DevOps-Tools, Verfügbarkeits- und E-Mail-Zustellbarkeitsprüfungen (SPF/DKIM/DMARC), Sicherheitsforschung und Domain-Überwachung.

api.oanor.com/dns-api