#security

Datos en vivo en cadena para Shentu (chain id shentu-2.2) — la capa 1 de Cosmos-SDK enfocada en seguridad del ecosistema CertiK, cuyo token nativo es CTK — servidos directamente desde nodos públicos LCD/REST con conmutación por error multi-nodo. El endpoint de estado devuelve la altura y hora del último bloque, el chain id, el denom de staking y la tasa de inflación de minting actual. El endpoint de validadores lista el conjunto de validadores activos vinculados clasificados por stake, cada uno con su moniker, dirección del operador, CTK auto-delegado más delegado, tasa de comisión y bandera de jailed. El endpoint de suministro devuelve el suministro total de CTK, la cantidad vinculada en staking y la proporción vinculada resultante. El endpoint de gobernanza devuelve las propuestas en cadena más recientes con su id, título, estado y ventana de votación. Los montos de tokens se convierten de micro-CTK base (6 decimales) a CTK entero, y cada cifra se lee en vivo desde la cadena — nada empaquetado ni modelado — detrás de un caché de servidor de corta duración con keep-warm para que el feed se mantenga rápido y fresco. Ideal para paneles de staking, herramientas para validadores y delegadores, exploradores, rastreadores de gobernanza y aplicaciones de cartera o análisis en todo el ecosistema Cosmos y de infraestructura de seguridad. Upstream sin clave en vivo. 5 endpoints.

api.oanor.com/shentu-api

Inspecciona programas de Solana desplegados en vivo desde el RPC público de Solana — sin clave — y responde la pregunta más importante para la seguridad: ¿puede este programa aún ser modificado, y por quién? Para cualquier dirección de programa, resuelve el cargador bajo el que se ejecuta, si es ejecutable, su cuenta ProgramData en cadena, la autoridad de actualización (o que se ha hecho inmutable / congelado), y el slot en el que se desplegó por última vez. Un endpoint por lotes audita hasta doce programas a la vez — perfecto para verificar la autoridad de actualización de cada programa del que depende un protocolo antes de confiar en él — y un endpoint de cargadores documenta los cargadores de programas de Solana. Distinto de las APIs de saldo, token y transacciones: esta es la capa de programa y autoridad de actualización en la que confían auditores, billeteras y herramientas de seguridad para juzgar si un programa de Solana es seguro. En vivo desde la cadena; caché corta solamente.

api.oanor.com/solanaprogram-api

Determina si un dominio es un sitio conocido de phishing o estafa cripto antes de que una billetera o usuario se conecte a él, utilizando la lista de bloqueo canónica eth-phishing-detect de MetaMask, la misma lista que protege a millones de usuarios de MetaMask, sin clave y en vivo. Ejecuta la lógica de detección real: una coincidencia exacta y de subdominio contra la lista de bloqueo y la lista blanca, más una coincidencia difusa de Levenshtein contra objetivos de suplantación de alto valor para detectar typosquats como "myetherwaliet.com" o "app-wallet-uniswap.org". Verifica un dominio o URL para obtener un veredicto (bloqueado, permitido, difuso o desconocido) con el motivo, busca en la lista de bloqueo de 190,000 entradas o lee sus estadísticas. La capa de seguridad de conexión dApp que toda billetera, extensión de navegador, bot de Telegram y herramienta de seguridad necesita para advertir a los usuarios antes de que firmen. En vivo, ligeramente almacenado en caché.

api.oanor.com/phishingcheck-api

Lee el almacenamiento EVM sin procesar de cualquier contrato inteligente en vivo a través del JSON-RPC público de la cadena, decodifica cada palabra de 32 bytes como una dirección, uint o bool, y resuelve los punteros de implementación de proxy en todos los estándares de proxy comunes: EIP-1967, EIP-1822/UUPS y el slot legacy de OpenZeppelin/zeppelinos, además de proxies beacon. Así es como descubres a qué apunta realmente un proxy, quién es su administrador o qué está almacenando un contrato, incluso para contratos no verificados donde el código fuente y la ABI no están disponibles. Proporciónale una cadena y una dirección: lee un slot, escanea los primeros N slots para echar un vistazo al diseño del estado, o resuelve automáticamente la implementación del proxy. La capa de inspección de estado en cadena para auditores, monitores de actualizaciones y herramientas de seguridad, en Ethereum, Base, Arbitrum, Optimism, BNB, Polygon y más. Solo caché en vivo y corto.

api.oanor.com/storageslot-api

Obtén el bytecode EVM desplegado de cualquier contrato inteligente en vivo desde el JSON-RPC público de la cadena, desensámblalo en opcodes legibles por humanos y extrae los selectores de funciones de 4 bytes de su despachador. A diferencia de los directorios de verificación de fuente o de 4 bytes, esto funciona en CUALQUIER contrato desplegado —verificado o no—, por lo que revela la lógica en cadena bruta de contratos para los que nadie ha publicado el código fuente. Proporciona una cadena y una dirección y obtén el bytecode de ejecución, un desensamblado completo de opcodes desplazamiento por desplazamiento (paginado) y los selectores de funciones detectados. La capa de ingeniería inversa para auditores, buscadores de MEV y herramientas de seguridad. Lee directamente de la cadena en Ethereum, Base, Arbitrum, Optimism, BNB, Polygon y más. Caché en vivo y corta solamente.

api.oanor.com/bytecode-api

Inspecciona cualquier billetera inteligente multisig Safe (anteriormente Gnosis Safe), sin clave. Para cualquier dirección de Safe en cualquier cadena compatible, devuelve la configuración multisig: los firmantes propietarios, el umbral de firma (el M-de-N), el nonce actual, los módulos habilitados, el guardia y la versión del contrato, y los saldos de tokens de Safe (nativos + ERC-20, con símbolos y cantidades). La capa de inspección multisig para tesorerías DAO, seguridad, diligencia debida, herramientas de billetera y panel. En vivo, nada almacenado. Respaldado por el Safe Transaction Service de código abierto.

api.oanor.com/safe-api

Verifique si el código fuente de cualquier contrato inteligente EVM está verificado y obtenga su ABI, archivos fuente y detalles de implementación, sin clave. Proporcione un ID de cadena y una dirección de contrato y obtenga el estado de verificación (completo / parcial / no verificado), el compilador y el nombre del contrato, la información de implementación (implementador, transacción, bloque), el ABI del contrato (la interfaz JSON que toda integración necesita) y el código fuente de Solidity verificado. En vivo, nada almacenado. La capa de verificación de contratos / ABI para seguridad, diligencia debida, explorador de bloques, billetera y herramientas dapp, respaldada por el registro abierto Sourcify, distinta de las API de precio, TVL y registro de cadenas.

api.oanor.com/contractverify-api

Auditoría en vivo de las aprobaciones de tokens (allowances) que una billetera cripto ha otorgado, y el riesgo de los contratos que ha aprobado para gastar sus tokens — impulsado por los datos públicos de GoPlus Security, sin key, nada almacenado. Las aprobaciones de tokens son la forma más común en que las billeteras se vacían: una vez que apruebas un contrato para mover un token, un gastador malicioso o comprometido puede tomarlo cuando quiera. Esta es la capa de higiene de allowances — los datos detrás de herramientas como revoke.cash. El endpoint de approvals lista cada token que una billetera ha aprobado, a quién aprobó (el contrato gastador), cuánto fue aprobado y cuándo, y si ese gastador está marcado como malicioso, confiable o no verificado, junto con un resumen de riesgo que cuenta las aprobaciones peligrosas a revocar. El endpoint de contract perfila un solo contrato gastador antes de que lo apruebes — su nombre, si es de código abierto, su creador, tiempo de despliegue y etiquetas de riesgo. El endpoint de chains lista las más de 40 blockchains compatibles. Detecta allowances que vacían billeteras antes de que cuesten todo a un usuario. Esta es la sección de riesgo de aprobaciones/allowances — distinta de las APIs de seguridad de contratos de tokens, detección de estafas y on-chain en el catálogo.

api.oanor.com/approvalsecurity-api

Verificaciones en vivo de estafas cripto, phishing y seguridad de dApps para las cosas que un usuario realmente hace clic o compra: la capa de protección al consumidor, impulsada por los datos públicos de GoPlus Security, sin key, nada almacenado. Antes de conectar una wallet a un sitio web, firmar una transacción o acuñar un NFT, pregunte si es seguro. El endpoint de phishing verifica si una URL es un sitio de phishing cripto conocido. El endpoint de dapp devuelve el estado de auditoría y confianza de una aplicación descentralizada: su nombre de proyecto, si ha sido auditada, si GoPlus la lista como proyecto de confianza, y las firmas auditoras y fechas. El endpoint de nft escanea un contrato de colección NFT en busca de riesgos: si está verificado o es falso, si es de código abierto o un proxy, si el propietario puede acuñar, quemar o mover tokens sin aprobación, si los metadatos están congelados, además de sus cifras de ítems, tenedores y volumen de negociación en 24 horas. Detenga sitios de phishing, colecciones NFT falsas y dApps no auditadas antes de que cuesten los fondos de un usuario. Este es el corte de detección de estafas de sitios web / dApps / NFT, distinto de la seguridad de contratos de tokens y wallets, la base de datos de exploits históricos y las APIs de precios en el catálogo.

api.oanor.com/scamcheck-api

Análisis en vivo de riesgos y seguridad de contratos inteligentes para tokens cripto y direcciones de billeteras: la verificación de diligencia debida en cadena que debe ejecutar antes de comprar un token o interactuar con una dirección, impulsada por los datos públicos de GoPlus Security, sin clave, sin almacenar nada. El endpoint de token escanea un contrato estilo ERC-20 en cualquier cadena compatible y devuelve si es un honeypot, su impuesto de compra y venta, si es acuñable o tiene un propietario oculto o privilegiado que puede pausar el comercio o recuperar la propiedad, si es de código abierto o un proxy, y sus recuentos de titulares y titulares de LP. El endpoint de dirección examina una dirección de billetera contra veinte señales de riesgo: ciberdelincuencia, lavado de dinero, phishing, sanciones, ataques de robo, direcciones relacionadas con honeypots y más, e informa exactamente cuáles, si las hay, están marcadas. El endpoint de cadenas enumera las más de 40 blockchains compatibles. Detecte tokens estafa, honeypots y direcciones contaminadas antes de que le cuesten. Este es el análisis de seguridad de contratos y detección de riesgos en tiempo real de cripto, distinto de la base de datos histórica de exploits, el precio y las APIs en cadena del catálogo.

api.oanor.com/tokensecurity-api

Una base de datos en vivo de hacks, exploits y robos de criptomonedas y DeFi: cada robo importante en cadena registrado, impulsado por el conjunto de datos público de hacks de DeFiLlama, sin key, nada almacenado. Cada incidente incluye la víctima, la cantidad robada en dólares estadounidenses, la fecha, la técnica de ataque (manipulación de oráculo de flash-loan, reentrada, compromiso de private-key, exploit de control de acceso y más), una clasificación de nivel superior, la cadena o cadenas involucradas, el tipo de objetivo (protocolo DeFi, exchange centralizado, puente, wallet, token) y cuánto, si algo, se devolvió después. El endpoint de hacks devuelve la lista de incidentes del más reciente al más antiguo, filtrable por cadena, técnica, tipo de objetivo, clasificación, año y pérdida mínima. El endpoint de biggest clasifica los mayores exploits de todos los tiempos por dólares robados, desde las brechas de puentes y exchanges multimillonarias hacia abajo. El endpoint de stats agrega todo el conjunto de datos: total robado, recuento de incidentes, fondos devueltos y desgloses por técnica de ataque, cadena, tipo de objetivo y año. Este es el corte de cripto-seguridad e historial de exploits: datos de riesgo y post-mortem distintos de las APIs de precio, mercado, TVL, tarifas y en cadena del catálogo.

api.oanor.com/cryptohacks-api

Matemáticas de la paradoja del cumpleaños y probabilidad de colisión como una API, calculada local y determinísticamente. El endpoint de probabilidad calcula la probabilidad de que al menos dos de n personas compartan cumpleaños entre d días igualmente probables, P = 1 − Π(1 − i/d), evaluada en espacio logarítmico para precisión — el famoso resultado de que solo 23 personas dan aproximadamente un 50.7 % de probabilidad, 50 personas alrededor del 97 % y 70 personas alrededor del 99.9 %. El endpoint de personas necesarias lo invierte: el tamaño de grupo más pequeño para alcanzar una probabilidad objetivo (23 para 50 %, 57 para 99 %), con la aproximación √(2·d·ln(1/(1−p))). El endpoint de colisión generaliza el límite del cumpleaños a cualquier espacio — pase un número de cubos o un tamaño de hash en bits — y devuelve la probabilidad de colisión P ≈ 1 − e^(−n²/2d), la regla detrás de las colisiones de hash y las estimaciones de unicidad de UUID, donde una probabilidad del 50 % necesita aproximadamente 1.177·√d elementos. Los días y cubos por defecto son 365. Todo se calcula local y determinísticamente, por lo que es instantáneo y privado. Ideal para desarrolladores de aplicaciones de educación en probabilidad, seguridad, criptografía, hashing, ingeniería de datos y estadística, herramientas de riesgo de colisión y problema del cumpleaños, y material didáctico. Cálculo local puro — sin clave, sin servicio de terceros, instantáneo. En vivo, nada almacenado. 3 endpoints. Esta es la probabilidad de cumpleaños/colisión; para distribuciones completas use una API de probabilidad.

api.oanor.com/birthdayparadox-api

Construye encabezados de respuesta CORS correctos y evalúa solicitudes preflight — sin tener que releer la especificación cada vez. El endpoint de encabezados convierte una política simple (orígenes permitidos, métodos, encabezados de solicitud, si se permiten credenciales, una edad máxima de preflight y cualquier encabezado de respuesta expuesto) en el conjunto exacto de encabezados Access-Control-* a devolver, y maneja las partes que la gente suele equivocar: no se puede combinar un origen comodín con credenciales, por lo que refleja el origen de solicitud específico y agrega Vary: Origin en su lugar; omite el encabezado allow-origin cuando un origen no está en su lista; y advierte cuando una configuración no se comportaría como se espera. El endpoint de verificación toma una solicitud entrante — su Origin, el método (solicitado) y Access-Control-Request-Headers — y le indica si pasaría CORS, la razón precisa si falla, y los encabezados de respuesta que debe enviar. Todo se calcula local y determinísticamente, por lo que es instantáneo y privado. Ideal para puertas de enlace API y backends, funciones edge y serverless, depuración de errores CORS del navegador y obtener una política de seguridad exacta. Cálculo puramente local — sin clave, sin servicio de terceros, instantáneo. En vivo, nada almacenado. 3 endpoints. Esto construye y verifica los encabezados; no realiza una solicitud de origen cruzado — para inspeccionar los encabezados de seguridad de un sitio en vivo, use una API de encabezados de seguridad.

api.oanor.com/cors-api

Detecta y redacta información de identificación personal (PII) en texto libre. Encuentra direcciones de correo electrónico, números de teléfono, números de tarjetas de crédito (validados con Luhn para reducir falsos positivos), direcciones IPv4 e IPv6, números de Seguro Social de EE. UU. e IBAN, y enmascara cada uno — con una etiqueta por tipo como [EMAIL], una cadena de reemplazo fija, o un solo carácter repetido hasta la longitud original. Un endpoint de detección devuelve cada coincidencia con su tipo y posición sin modificar el texto. Perfecto para limpiar registros y transcripciones de soporte, sanitizar datos antes de compartirlos o enviarlos a un tercero, y verificaciones previas de privacidad y cumplimiento. Cómputo puramente local — el texto nunca sale del servidor, sin clave, sin terceros, instantáneo; hasta 200,000 caracteres mediante POST. En vivo, nada se almacena. 3 endpoints. Basado en expresiones regulares y con el mejor esfuerzo — revise antes de confiar en él para cumplimiento legal. Distinto de herramientas de sentimiento, lenguaje ofensivo y texto general.

api.oanor.com/redact-api

Escapa una cadena para que sea segura de insertar en un contexto específico. Elige un objetivo — una expresión regular (para que el texto coincida literalmente), un comando de shell (envoltorio de comillas simples POSIX), una cadena JSON, un campo CSV (citado según RFC 4180) o un literal de cadena SQL — y obtén el valor escapado correctamente, más una breve nota sobre la regla aplicada. El endpoint de contextos enumera cada objetivo con un ejemplo práctico. Perfecto para generación de código, construcción de comandos y consultas, plantillas y exportación de datos, e interpolación segura de entrada de usuario. Cálculo puramente local — sin clave, sin servicio de terceros, instantáneo. En vivo, nada almacenado. 3 endpoints. El contexto SQL es un literal citado por conveniencia, no un reemplazo para consultas parametrizadas. Distinto de codificadores base64/hex/URL/entidad HTML.

api.oanor.com/escape-api

Genere pares de claves criptográficas bajo demanda — RSA (2048/3072/4096), curva elíptica (P-256, P-384, P-521, secp256k1), Ed25519 y Ed448 — devueltas como PEM (clave pública SPKI, clave privada PKCS#8) y, opcionalmente, como JWK. Perfecto para generar claves de firma JWT/JWS, experimentos TLS y SSH, accesorios de prueba y demostraciones. Generación local pura con el módulo crypto de Node (sin servicio de terceros). Nota: para desarrollo, pruebas y educación — genere claves para sistemas de producción fuera de línea o en un HSM, nunca confíe en una API remota con claves privadas reales. En vivo, nada almacenado. 3 endpoints. Distinto de la firma JWT, generación de contraseñas y hash.

api.oanor.com/keypair-api

Haga que el HTML no confiable sea seguro para mostrar. Envíe cualquier HTML (un comentario, una publicación de texto enriquecido, un fragmento de un correo electrónico o una página raspada) y obtenga una versión limpia y libre de XSS: se eliminan las etiquetas <script>, los controladores de eventos en línea (onclick, onerror), las URL javascript:, <iframe>, <style> y cualquier cosa que no esté en la lista blanca. Anule las etiquetas y atributos permitidos para adaptarse a sus necesidades, o elimine los enlaces por completo. Un endpoint strip devuelve texto plano con todo el marcado eliminado. Sanitización local pura: sin clave, sin servicio de terceros, instantáneo. En vivo. 3 endpoints. Diseñado para contenido generado por usuarios, sistemas de comentarios, editores de texto enriquecido, renderizado de correos electrónicos y cualquier lugar donde el HTML no confiable llegue a un navegador. Distinto de un renderizador de Markdown o un extractor de datos HTML.

api.oanor.com/htmlsanitize-api

Detecta el tipo real de un archivo a partir de su contenido — sus bytes mágicos / firma binaria — no de su nombre. Envíe un archivo por URL o base64 y obtenga la extensión real y el tipo MIME, reconociendo más de 100 formatos binarios: imágenes (PNG, JPEG, GIF, WebP, AVIF, HEIC), audio y video (MP3, MP4, WAV, FLAC, MKV), archivos comprimidos (ZIP, GZIP, 7z, RAR, TAR), documentos (PDF, DOCX, XLSX), fuentes y más. Opcionalmente, pase un nombre de archivo para marcar una extensión falsificada (por ejemplo, un PNG renombrado a .txt). Los formatos de texto como TXT, CSV, JSON y SVG no tienen firma y devuelven detected=false. La detección es local — sin clave, sin servicio de terceros. En vivo, nada almacenado. 2 endpoints. Diseñado para validación segura de carga, comprobaciones anti-falsificación, pipelines de contenido y análisis forense. Distinto de una búsqueda de extensión a MIME.

api.oanor.com/filetype-api

Inspecciona la postura de seguridad de transporte SMTP de un dominio — si los servidores de correo están obligados a entregar correo entrante a través de TLS autenticado, protegiéndolo de ataques de degradación y de intermediario. Proporciona un dominio y el servicio obtiene el archivo de política MTA-STS de mta-sts.<dominio>/.well-known/mta-sts.txt (su versión, modo, los hosts MX permitidos y max_age), el registro DNS TXT _mta-sts (su ID de política) y el registro _smtp._tls TLS-RPT (la dirección de informe rua), luego informa si MTA-STS está realmente aplicado y una lista priorizada de problemas — sin archivo de política, sin registro DNS, un modo de solo "testing", o un registro TLS-RPT faltante. Un segundo endpoint devuelve solo el archivo de política analizado. La solicitud se realiza del lado del servidor y los destinos privados/internos son rechazados (protegido contra SSRF). Construido para auditorías de capacidad de entrega de correo electrónico y prevención de ataques de degradación, evaluación de proveedores y terceros, y cumplimiento. Un verificador MTA-STS / TLS-RPT — la contraparte de seguridad de transporte SMTP del analizador de autenticación de correo electrónico (emailsec, que cubre SPF, DKIM y DMARC), y distinto de la consulta DNS sin procesar (dns). Sin clave upstream, sin caché.

api.oanor.com/mtasts-api

Inspecciona cualquier proveedor OpenID Connect / OAuth 2.0. Proporciona un emisor (un dominio, una URL de emisor o la URL de descubrimiento completa) y el servicio obtiene el documento de descubrimiento del proveedor en /.well-known/openid-configuration, analiza cada endpoint — autorización, token, userinfo, jwks, registro, fin de sesión, introspección, revocación y autorización de dispositivo — junto con los alcances admitidos, tipos de respuesta, tipos de concesión, algoritmos de firma de token de ID, métodos PKCE y claims, luego obtiene el JWKS y resume sus claves de firma (recuento, algoritmos, tipos de clave e IDs de clave), e informa una verificación de validez con cualquier problema. Un segundo endpoint obtiene y resume cualquier conjunto de claves web JSON por sí mismo. La solicitud se realiza del lado del servidor y los destinos privados/internos son rechazados (protegido contra SSRF). Construido para integración SSO y OAuth/OIDC, depuración de configuración de proveedores de identidad (Auth0, Okta, Keycloak, Azure AD, Google), revisión de seguridad y monitoreo de rotación de claves de firma. Un inspector de descubrimiento OIDC / JWKS — distinto del kit de herramientas JWT (jwt), el analizador de security.txt (securitytxt) y el calificador de encabezados de seguridad HTTP (secheaders). Sin clave upstream, sin caché.

api.oanor.com/oidc-api

Genere hashes de Integridad de Subrecursos (SRI) para cualquier activo web, para que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Proporcione una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pase su algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y le indica si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que sus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Diseñado para asegurar scripts de terceros, fortalecer la cadena de suministro, tuberías de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Integridad de Subrecursos, distinto del hash criptográfico sin procesar de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Prioriza CVEs por riesgo de explotación en el mundo real, no solo por gravedad. Combina la puntuación EPSS de FIRST.org (la probabilidad, de 0 a 1, de que un CVE sea explotado en los próximos 30 días, con su rango percentil) y el catálogo CISA KEV (vulnerabilidades confirmadas como explotadas activamente en la naturaleza — con el proveedor, producto, fecha de adición, fecha límite de remediación y si la falla se usa en campañas de ransomware), y deriva un único nivel de prioridad para cada CVE. Consulta hasta 25 CVEs en una sola llamada, navega por el catálogo completo de Vulnerabilidades Explotadas Conocidas de CISA filtrado por proveedor, producto o uso de ransomware, o lista los CVEs con las puntuaciones EPSS más altas actuales. Construido para gestión de vulnerabilidades, priorización de parches, puntuación de riesgos y paneles de seguridad — respondiendo no "¿qué tan malo podría ser esto?" sino "¿qué tan probable es que realmente sea explotado?". Una capa de priorización de vulnerabilidades — distinta de los detalles brutos de CVE y la gravedad CVSS (cve), las comprobaciones de violaciones de contraseñas (pwned) y el calificador de encabezados de seguridad HTTP (secheaders). Datos en vivo de FIRST.org y CISA. Sin clave upstream, sin caché.

api.oanor.com/vulnintel-api

Inspeccione la postura de autenticación de correo electrónico de cualquier dominio — su protección contra suplantación y phishing — a través de DNS en vivo. Pase un dominio y el servicio busca y valida SPF (el registro v=spf1, su calificador all y el límite de 10 búsquedas), DMARC (la política _dmarc p=none/quarantine/reject, más sp, pct y direcciones de informe rua/ruf), DKIM (probando los selectores comunes en selector._domainkey, o pase el suyo propio), BIMI y los servidores MX — luego devuelve una calificación de A+ a F con una lista priorizada de problemas y consejos concretos. Un segundo endpoint analiza el registro DMARC etiqueta por etiqueta con una interpretación en lenguaje sencillo de la política. Construido para auditorías de entregabilidad de correo y anti-suplantación, evaluación de riesgos de proveedores y terceros, incorporación de seguridad y monitoreo continuo. Un analizador de autenticación de correo electrónico — distinto de la validación de buzón/dirección (email), la búsqueda de registros DNS sin procesar (dns) y el calificador de encabezados de seguridad HTTP (secheaders). DNS en vivo puro, sin clave upstream, sin caché.

api.oanor.com/emailsec-api

Obtén y analiza el archivo security.txt RFC 9116 de cualquier dominio: el archivo legible por máquina en /.well-known/security.txt que indica a los investigadores de seguridad cómo reportar vulnerabilidades. Proporciona un dominio y el servicio localiza el archivo (la ruta canónica .well-known con un fallback raíz heredado), analiza cada campo — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring y CSAF — e informa si es válido (tiene al menos un Contact y un único Expires no vencido), si está firmado con PGP, si ha expirado (con el número de días restantes) y una lista de problemas con consejos concretos. Un endpoint complementario devuelve el archivo sin procesar. La solicitud se realiza del lado del servidor; se rechazan objetivos privados e internos (protegido contra SSRF). Construido para auditorías de seguridad, evaluación de riesgos de proveedores y terceros, revisiones de superficie de ataque y verificaciones de cumplimiento de políticas de divulgación de vulnerabilidades. Un analizador y validador de security.txt — distinto del calificador de cabeceras de seguridad HTTP (secheaders), la verificación de certificados SSL/TLS (sslcheck) y la accesibilidad del host (hostcheck). Sin clave upstream, sin caché.

api.oanor.com/securitytxt-api

Obtén cualquier URL y analiza sus encabezados de seguridad de respuesta HTTP, calificando el sitio de A+ a F como lo hacen securityheaders.com y Mozilla Observatory. Pasa una URL y el servicio realiza la solicitud del lado del servidor (siguiendo redirecciones), luego informa qué encabezados protectores están presentes, cuáles faltan (con consejos concretos de remediación) y qué encabezados de respuesta filtran información. Los encabezados calificados incluyen Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy y Cross-Origin-Opener-Policy; los encabezados que filtran información incluyen Server y X-Powered-By. Un endpoint complementario devuelve cada encabezado de respuesta sin procesar. Los objetivos privados e internos son rechazados (protegido contra SSRF). Construido para auditorías de seguridad, puertas de seguridad en CI/CD, revisiones de superficie de ataque y verificaciones de cumplimiento. Un calificador de encabezados de seguridad, distinto de la verificación de certificados SSL/TLS (sslcheck), la accesibilidad del host (hostcheck), la referencia de códigos de estado HTTP de IANA (http) y la auditoría SEO en página (seo). Sin clave upstream, sin caché.

api.oanor.com/secheaders-api

Consulte la red Tor en vivo como una API, impulsada por el servicio oficial Onionoo del Proyecto Tor y la lista canónica de nodos de salida masivos. Verifique si cualquier dirección IPv4 o IPv6 es un relay Tor (is_tor_relay) y si es un nodo de salida por el cual los clientes abandonan la red (is_exit_node, corroborado con la lista de salida masiva), devolviendo el registro o registros completos del relay coincidente: apodo, huella digital, banderas, país, sistema autónomo, ancho de banda anunciado, resumen de la política de salida y fechas de primera/última vista. O busque en la lista pública de relays por apodo, huella digital, IP, país o bandera (Exit, Guard, Fast, Stable…) con paginación. Diseñado para la clasificación de fraudes y abusos, puntuación de riesgo de inicio de sesión, filtrado de comentarios y registros, e investigación de redes, sabiendo de un vistazo si una conexión se origina en la red Tor. Los datos de rango se obtienen en vivo del Proyecto Tor, por lo que siempre están actualizados. Una consulta de la red Tor, distinta de la atribución de nube/CDN (cloudips), geolocalización IP (ipgeo), propiedad ASN/BGP (asn, ripestat) y exposición de puertos abiertos (internetdb). Sin clave upstream, sin caché.

api.oanor.com/tor-api

Atribuya cualquier dirección IP al proveedor de nube, CDN, región y servicio que la posee — a partir de las listas oficiales de rangos IP publicadas por AWS, Google Cloud, Cloudflare, Oracle Cloud (OCI), Fastly y GitHub. Pase una dirección IPv4 o IPv6 y obtenga cada prefijo coincidente con su proveedor, región/alcance y servicio, además de un indicador is_cloud que le dice de un vistazo si la dirección pertenece a una nube o CDN conocida — o liste los rangos publicados de un solo proveedor, filtrados por región, servicio y versión IP. Diseñado para listas de permitidos en cortafuegos, clasificación de abuso y fraude, clasificación de bots y tráfico de salida, defensa contra SSRF y para saber si el tráfico entrante o saliente se origina en una nube o CDN. Los datos de rangos se obtienen en vivo de la lista pública canónica de cada proveedor, por lo que siempre están actualizados. Un servicio de atribución de IP de nube/CDN — distinto de la geolocalización IP (ipgeo), la propiedad ASN/BGP (asn, ripestat), la exposición de puertos abiertos (internetdb) y los registros de protocolos/puertos IANA (netports, ipprotocols). Sin clave upstream, sin caché.

api.oanor.com/cloudips-api

Vea lo que cualquier host expone a internet — como una API sobre la InternetDB gratuita de Shodan. Proporcione una dirección IPv4/IPv6 (o un nombre de host, que se resuelve a su IP) y obtenga la superficie de ataque de ese host: los puertos abiertos (anotados con nombres de servicios comunes), los productos y tecnologías detectados en él (CPEs), sus nombres de host inversos, las etiquetas de clasificación de Shodan y las vulnerabilidades conocidas (identificadores CVE) observadas en sus servicios. Una vista dedicada de vulnerabilidades devuelve solo los CVE y si el host parece vulnerable. Es rápido, no requiere clave y está diseñado para flujos de trabajo de seguridad, descubrimiento de activos, monitoreo de superficie de ataque externa y reconocimiento. Un recurso de exposición de red / superficie de ataque — distinto de la geolocalización IP (dónde está una dirección), el registro de puertos IANA (qué significa un número de puerto) y las bases de datos CVE (qué es una vulnerabilidad). Datos de Shodan InternetDB (uso gratuito / no comercial).

api.oanor.com/internetdb-api

Comprueba si una contraseña ha aparecido en filtraciones de datos conocidas — como una API sobre el corpus Pwned Passwords de Have I Been Pwned (más de 800 millones de contraseñas comprometidas únicas). Utiliza k-anonimato: solo los primeros 5 caracteres del hash SHA-1 de una contraseña se envían al servidor, por lo que la contraseña en sí nunca sale completa. Pasa una contraseña (hasheada en memoria, nunca almacenada ni registrada — envíala mediante POST para que nunca aparezca en una URL/log) o un hash SHA-1 para saber si ha sido filtrada y cuántas veces; o recupera un rango de k-anonimato sin procesar para un prefijo de hash de 5 caracteres y realiza la coincidencia completamente por tu cuenta para una exposición cero de la contraseña. El cribado de registros y restablecimientos de contraseñas contra listas de contraseñas filtradas es recomendado por NIST 800-63b, y esto lo convierte en una verificación de una sola llamada. Un recurso de seguridad de filtraciones/credenciales — distinto de los generadores de contraseñas, hashing criptográfico y bcrypt. Datos abiertos de Have I Been Pwned (Troy Hunt), CC BY 4.0.

api.oanor.com/pwned-api

Inteligencia de cadena de suministro y dependencias de software como API, impulsada por deps.dev — el servicio de Open Source Insights de Google. En seis ecosistemas de paquetes (npm, PyPI, Maven, Cargo, Go y NuGet) responde preguntas que un registro no puede: ¿qué arrastra realmente la instalación de este paquete y qué tan saludable es el proyecto detrás? Enumera las versiones publicadas de un paquete y su versión predeterminada; lee las licencias declaradas de una versión específica, las claves de cualquier aviso de seguridad conocido, enlaces útiles (repositorio fuente, página principal, rastreador de problemas) y proyectos relacionados; resuelve el gráfico de dependencias TRANSITIVAS completo de una versión — el recuento total de dependencias, las dependencias directas y cada nodo transitivo con su versión resuelta exacta y si es una dependencia directa o indirecta; y consulta el Scorecard de OpenSSF de un proyecto fuente — la puntuación de seguridad general más los resultados por verificación para Mantenido, Revisión de Código, Protección de Ramas, Flujo de Trabajo Peligroso, Vulnerabilidades y más — junto con sus estrellas, bifurcaciones, problemas abiertos, licencia y página principal. Para módulos Go y artefactos Maven, el nombre del paquete es la ruta completa del módulo o grupo:artefacto (codificado en URL automáticamente). Ideal para auditoría de dependencias, enriquecimiento de lista de materiales de software (SBOM), evaluación de riesgos de cadena de suministro y herramientas de cumplimiento de licencias. Datos de deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

La base de datos de Vulnerabilidades de Código Abierto (OSV / osv.dev) como una API: la verificación de seguridad de la cadena de suministro para dependencias de código abierto. Escanee cualquier versión de paquete (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex y más) y descubra al instante si está afectado por vulnerabilidades conocidas, con la gravedad de cada aviso, puntuación CVSS, alias CVE, debilidad CWE y referencias; enumere todos los avisos publicados para un paquete; y busque un solo aviso (GHSA, PYSEC, GO, RUSTSEC, CVE…) con todos los detalles, incluidos los paquetes afectados y los rangos de versiones. En vivo desde la base de datos oficial de OSV.dev de Google, que agrega Avisos de Seguridad de GitHub, PyPA, RustSec, Go y muchas otras fuentes. Ideal para escaneo de dependencias, SBOM y herramientas de cadena de suministro, puertas de seguridad de CI y paneles de devsecops. Datos abiertos.

api.oanor.com/osv-api

Verifique el certificado SSL/TLS de cualquier sitio web como una API. Pase un dominio y el servicio realiza un handshake TLS en vivo y devuelve el sujeto y emisor del certificado, la ventana de validez, el número exacto de días hasta que expire, si es actualmente válido y confiable por una cadena CA estándar, el protocolo TLS negociado, número de serie, huella digital SHA-256, tamaño de clave y la lista completa de Nombres Alternativos del Sujeto (SANs). Un endpoint de vencimiento ligero devuelve un estado simple de ok / expiring_soon / expired, perfecto para monitoreo de tiempo de actividad y vencimiento de certificados, paneles, verificaciones de CI y herramientas de seguridad. Autónomo — sin servicio de terceros. No se admiten direcciones IP ni hosts internos.

api.oanor.com/sslcheck-api

Consulte vulnerabilidades de software por su identificador CVE y obtenga detalles limpios y estructurados: título, descripción, puntuación CVSS, gravedad y vector, tipos de debilidad CWE, proveedores y productos afectados con rangos de versiones, y enlaces de referencia; además, busque todos los CVE que afectan a un proveedor o producto determinado, y transmita los CVE publicados más recientemente. Obtenido del servicio CIRCL CVE Search sobre los datos oficiales de CVE Record 5.1 y devuelto como JSON ordenado a través de una API rápida y confiable. Ideal para la gestión de vulnerabilidades y herramientas de SOC, canalizaciones DevSecOps y SCA, paneles de seguridad, monitoreo de cumplimiento y riesgo de activos.

api.oanor.com/cve-api

Hash y verifica contraseñas con bcrypt, del lado del servidor. Genera un hash bcrypt con sal a un factor de costo que elijas (4–14), verifica una contraseña en texto plano contra un hash existente, o inspecciona un hash para leer su versión bcrypt, factor de costo y sal. Totalmente compatible con hashes bcrypt de PHP ($2y$), Node, Python y otros, por lo que puedes verificar y migrar credenciales existentes. Cómputo puro del lado del servidor sin terceros upstream, por lo que siempre está disponible — y descarga el trabajo de hashing deliberadamente intensivo en CPU de tus propios servidores. Ideal para agregar autenticación de contraseñas, migración de credenciales, herramientas de autenticación, pruebas y backends sin código.

api.oanor.com/bcrypt-api

Agregue y pruebe la autenticación de dos factores sin lidiar con una biblioteca criptográfica. Genere un secreto base32 nuevo con un URI otpauth listo para escanear, calcule el código único basado en tiempo actual (RFC 6238), verifique un código enviado por un usuario con una ventana de deriva ajustable, o construya un URI otpauth:// para cualquier secreto. Compatible con SHA-1, SHA-256 y SHA-512, de 6 a 8 dígitos y un período personalizado, y es totalmente compatible con Google Authenticator, Authy, 1Password y otras aplicaciones de autenticación. Cálculo puro del lado del servidor sin terceros, por lo que las respuestas son instantáneas y el servicio está siempre disponible. Ideal para agregar 2FA a aplicaciones, herramientas de autenticación, control de calidad y pruebas, y automatización sin código.

api.oanor.com/totp-api

Un kit de herramientas rápido y completamente local para JSON Web Token: firma un payload JSON en un JWT, verifica la firma de un token junto con sus claims exp y nbf usando una comparación de tiempo constante, y decodifica el encabezado y el payload de un token sin verificar. Soporta los algoritmos HMAC HS256, HS384 y HS512, añade automáticamente el claim iat y un claim exp a partir de expires_in. Construido sobre Node crypto y los secretos nunca se registran, por lo que las respuestas son instantáneas, privadas y siempre disponibles. Cada endpoint acepta entrada a través de la cadena de consulta o el cuerpo de la solicitud. Ideal para autenticación, puertas de enlace API, herramientas de sesión y token, microservicios y webhooks.

api.oanor.com/jwt-api

Un kit de herramientas rápido y completamente local para MIME y tipos de archivo: busque el tipo MIME, el juego de caracteres y la categoría de un nombre de archivo o extensión, enumere todas las extensiones de archivo registradas para un tipo MIME y detecte el tipo real de un archivo a partir de sus bytes mágicos principales (más de 40 firmas, incluida la desambiguación de contenedores RIFF para WEBP, WAV y AVI), aceptando entrada hexadecimal o base64. Cada endpoint acepta entrada a través de la cadena de consulta o el cuerpo de la solicitud. Cómputo puro del lado del servidor, sin terceros ascendentes, por lo que las respuestas son instantáneas y siempre están disponibles. Ideal para validación de carga, seguridad (verificar el tipo real de un archivo contra su extensión declarada), CDN y canalizaciones de contenido.

api.oanor.com/mime-api

Un kit de herramientas de contraseñas rápido y completamente local: genera contraseñas aleatorias criptográficamente seguras (longitud configurable, clases de caracteres y excluir similares), estima la fortaleza de la contraseña (bits de entropía, una puntuación de 0 a 4, desglose de clases de caracteres, detección de contraseñas comunes, una estimación de tiempo de descifrado fuera de línea y comentarios procesables), y crea frases de contraseña memorables al estilo diceware. Construido sobre Node crypto, sin terceros upstream, y las entradas nunca se registran, por lo que las respuestas son instantáneas, privadas y siempre disponibles. Ideal para flujos de registro y cuenta, herramientas de administración, gestores de contraseñas y funciones de seguridad.

api.oanor.com/password-api

Navega y busca la lista oficial de FBI Wanted: fugitivos, personas desaparecidas, terroristas y casos de búsqueda de información, con cargos, advertencias, recompensas, descripciones físicas, oficinas de campo y fotos. Útil para noticias, seguridad pública, investigación de seguridad y aplicaciones OSINT.

api.oanor.com/fbi-api

Resuelve registros DNS — A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR — para cualquier dominio, obtén todos los registros comunes en una sola llamada, o realiza una consulta PTR inversa para una dirección IPv4. Respaldado por Google DNS-over-HTTPS. Ideal para herramientas de DevOps, comprobaciones de tiempo de actividad y capacidad de entrega de correo electrónico (SPF/DKIM/DMARC), investigación de seguridad y monitoreo de dominios.

api.oanor.com/dns-api