#security

Données en direct de la chaîne pour Shentu (chain id shentu-2.2) — la couche 1 Cosmos-SDK axée sur la sécurité de l'écosystème CertiK, dont le jeton natif est CTK — servies directement depuis des nœuds publics LCD/REST avec basculement multi-nœuds. Le point de terminaison status renvoie la hauteur et l'heure du dernier bloc, l'identifiant de la chaîne, le jeton de mise en jeu et le taux d'inflation actuel du minage. Le point de terminaison validators liste l'ensemble des validateurs actifs liés classés par mise, chacun avec son moniker, son adresse d'opérateur, son CTK auto-délégué et délégué, son taux de commission et son indicateur de mise en prison. Le point de terminaison supply renvoie l'offre totale de CTK, le montant lié dans la mise en jeu et le ratio de mise en jeu résultant. Le point de terminaison governance renvoie les propositions récentes sur la chaîne avec leur identifiant, titre, statut et fenêtre de vote. Les montants de jetons sont convertis de la micro-CTK de base (6 décimales) en CTK entier, et chaque chiffre est lu en direct depuis la chaîne — rien n'est regroupé ou modélisé — derrière un cache côté serveur court avec maintien au chaud pour que le flux reste rapide et frais. Idéal pour les tableaux de bord de mise en jeu, les outils pour validateurs et délégateurs, les explorateurs, les trackers de gouvernance et les applications de portefeuille ou d'analyse dans l'écosystème Cosmos et d'infrastructure de sécurité. Accès en direct sans clé. 5 points de terminaison.

api.oanor.com/shentu-api

Inspectez les programmes Solana déployés en direct depuis le RPC public Solana — sans clé — et répondez à la question la plus importante pour la sécurité : ce programme peut-il encore être modifié, et par qui ? Pour toute adresse de programme, il résout le loader sous lequel il s'exécute, s'il est exécutable, son compte ProgramData on-chain, l'autorité de mise à niveau (ou le fait qu'il ait été rendu immuable / gelé), et le slot où il a été déployé pour la dernière fois. Un endpoint batch audite jusqu'à douze programmes à la fois — parfait pour vérifier l'autorité de mise à niveau de chaque programme dont dépend un protocole avant de lui faire confiance — et un endpoint loaders documente les loaders de programmes de Solana. Distinct des API de solde, de token et de transaction : il s'agit de la couche programme et autorité de mise à niveau sur laquelle les auditeurs, les portefeuilles et les outils de sécurité s'appuient pour juger si un programme Solana est sûr. En direct depuis la chaîne ; cache court uniquement.

api.oanor.com/solanaprogram-api

Déterminez si un domaine est un site de phishing ou d'arnaque crypto connu avant qu'un portefeuille ou un utilisateur ne s'y connecte — en utilisant la liste de blocage canonique eth-phishing-detect de MetaMask, la même liste qui protège des millions d'utilisateurs de MetaMask, lue sans clé et en direct. Elle exécute la logique de détection réelle : une correspondance exacte et de sous-domaine avec la liste de blocage et la liste blanche, plus une correspondance floue Levenshtein contre des cibles imitatives de grande valeur pour attraper les typosquats comme "myetherwaliet.com" ou "app-wallet-uniswap.org". Vérifiez un domaine ou une URL pour obtenir un verdict (bloqué, autorisé, flou ou inconnu) avec la raison, recherchez dans la liste de blocage de 190 000 entrées, ou lisez ses statistiques. La couche de sécurité de connexion dApp dont chaque portefeuille, extension de navigateur, bot Telegram et outil de sécurité a besoin pour avertir les utilisateurs avant qu'ils ne signent. En direct, légèrement mis en cache.

api.oanor.com/phishingcheck-api

Lisez le stockage EVM brut de n'importe quel contrat intelligent en direct via le JSON-RPC public de la chaîne, décodez chaque mot de 32 octets en adresse, uint ou booléen, et résolvez les pointeurs d'implémentation de proxy à travers chaque standard de proxy courant — EIP-1967, EIP-1822/UUPS et le slot OpenZeppelin/zeppelinos hérité, ainsi que les proxy de beacon. C'est ainsi que vous découvrez ce qu'un proxy pointe réellement, qui est son administrateur, ou ce qu'un contrat stocke — même pour les contrats non vérifiés où la source et l'ABI sont indisponibles. Donnez-lui une chaîne et une adresse : lisez un slot, scannez les N premiers slots pour jeter un coup d'œil à la disposition de l'état, ou résolvez automatiquement l'implémentation du proxy. La couche d'inspection d'état en chaîne pour les auditeurs, les moniteurs de mise à niveau et les outils de sécurité, sur Ethereum, Base, Arbitrum, Optimism, BNB, Polygon et plus encore. En direct, cache court uniquement.

api.oanor.com/storageslot-api

Récupérez le bytecode EVM déployé de n'importe quel contrat intelligent en direct depuis le JSON-RPC public de la chaîne, désassemblez-le en opcodes lisibles par l'homme et extrayez les sélecteurs de fonction de 4 octets de son dispatcher. Contrairement aux répertoires de vérification de source ou de 4 octets, cela fonctionne sur TOUT contrat déployé — vérifié ou non — révélant ainsi la logique brute on-chain de contrats dont personne n'a publié le code source. Fournissez une chaîne et une adresse pour obtenir le bytecode d'exécution, un désassemblage complet offset par offset des opcodes (paginé) et les sélecteurs de fonction détectés. La couche de rétro-ingénierie pour les auditeurs, les chercheurs MEV et les outils de sécurité. Lit directement depuis la chaîne sur Ethereum, Base, Arbitrum, Optimism, BNB, Polygon et plus encore. Cache court et en direct uniquement.

api.oanor.com/bytecode-api

Inspectez n'importe quel portefeuille intelligent multisig Safe (anciennement Gnosis Safe), sans clé. Pour toute adresse Safe sur toute chaîne prise en charge, il renvoie la configuration multisig — les signataires propriétaires, le seuil de signature (le M-of-N), le nonce actuel, les modules activés, le gardien et la version du contrat — ainsi que les soldes de jetons Safe (natifs + ERC-20, avec symboles et montants). La couche d'inspection multisig pour les trésoreries DAO, la sécurité, la due diligence et les outils de portefeuille et de tableau de bord. En direct, rien n'est stocké. Soutenu par le Safe Transaction Service ouvert.

api.oanor.com/safe-api

Vérifiez si le code source de tout contrat intelligent EVM est vérifié et récupérez son ABI, ses fichiers source et les détails de déploiement, sans clé. Donnez-lui un identifiant de chaîne et une adresse de contrat et obtenez le statut de vérification (complet / partiel / non vérifié), le compilateur et le nom du contrat, les informations de déploiement (déployeur, transaction, bloc), l'ABI du contrat (l'interface JSON dont chaque intégration a besoin) et le source Solidity vérifié. En direct, rien n'est stocké. La couche de vérification de contrat / ABI pour la sécurité, la diligence raisonnable, l'explorateur de blocs, le portefeuille et les outils dapp — soutenue par le registre open source Sourcify, distinct des API de prix, TVL et registre de chaînes.

api.oanor.com/contractverify-api

Audit en direct des approbations de jetons (allowances) qu'un portefeuille crypto a accordées, et du risque des contrats qu'il a approuvés pour dépenser ses jetons — alimenté par les données publiques de GoPlus Security, sans clé, rien n'est stocké. Les approbations de jetons sont le moyen le plus courant de vider les portefeuilles : une fois que vous approuvez un contrat pour déplacer un jeton, un dépensier malveillant ou compromis peut le prendre quand il le souhaite. C'est la couche d'hygiène des allowances — les données derrière des outils comme revoke.cash. Le endpoint des approbations liste chaque jeton qu'un portefeuille a approuvé, qui il a approuvé (le contrat dépensier), combien a été approuvé et quand, et si ce dépensier est signalé comme malveillant, de confiance ou non vérifié, avec un résumé des risques comptant les approbations dangereuses à révoquer. Le endpoint du contrat profile un seul contrat dépensier avant que vous l'approuviez — son nom, s'il est open-source, son créateur, son heure de déploiement et ses tags de risque. Le endpoint des chaînes liste les plus de 40 blockchains supportées. Détectez les allowances vidant les portefeuilles avant qu'elles ne coûtent tout à un utilisateur. C'est la coupe risque d'approbation/allowance — distincte des API de sécurité des contrats de jetons, de détection d'arnaques et on-chain du catalogue.

api.oanor.com/approvalsecurity-api

Vérifications en direct des arnaques crypto, du phishing et de la sécurité des dApps pour les éléments sur lesquels un utilisateur clique ou achète réellement — la couche de protection du consommateur, alimentée par les données publiques GoPlus Security, sans clé, rien n'est stocké. Avant de connecter un portefeuille à un site web, de signer une transaction ou de mint un NFT, demandez-vous si c'est sûr. Le endpoint de phishing vérifie si une URL est un site de phishing crypto connu. Le endpoint dapp renvoie l'audit et le statut de confiance d'une application décentralisée — son nom de projet, s'il a été audité, si GoPlus le répertorie comme projet de confiance, ainsi que les cabinets d'audit et les dates. Le endpoint nft analyse un contrat de collection NFT pour les risques — s'il est vérifié ou faux, open-source ou proxy, si le propriétaire peut mint, brûler ou déplacer des tokens sans approbation, si les métadonnées sont gelées, ainsi que ses chiffres d'articles, de détenteurs et de volume de transactions sur 24 heures. Arrêtez les sites de phishing, les fausses collections NFT et les dApps non auditées avant qu'ils ne coûtent des fonds à un utilisateur. Il s'agit de la détection des arnaques de sites web / dApps / NFT — distincte de la sécurité des contrats de tokens et des portefeuilles, de la base de données des exploits historiques et des API de prix dans le catalogue.

api.oanor.com/scamcheck-api

Analyse en direct des risques et de la sécurité des smart-contracts pour les tokens crypto et les adresses de portefeuille — la vérification de diligence raisonnable on-chain à effectuer avant d'acheter un token ou d'interagir avec une adresse, alimentée par les données publiques de GoPlus Security, sans clé, rien n'est stocké. Le point de terminaison token analyse un contrat de type ERC-20 sur n'importe quelle chaîne prise en charge et renvoie s'il s'agit d'un honeypot, ses taxes d'achat et de vente, s'il est mintable ou a un propriétaire caché ou privilégié qui peut suspendre les échanges ou reprendre la propriété, s'il est open-source ou un proxy, et ses nombres de détenteurs et de détenteurs de LP. Le point de terminaison address examine une adresse de portefeuille par rapport à vingt signaux de risque — cybercriminalité, blanchiment d'argent, phishing, sanctions, attaques de vol, adresses liées aux honeypots et plus — et signale exactement lesquels, le cas échéant, sont signalés. Le point de terminaison chains répertorie les 40+ blockchains prises en charge. Attrapez les tokens frauduleux, les honeypots et les adresses contaminées avant qu'ils ne vous coûtent. Il s'agit de l'analyse en temps réel de la sécurité des contrats et du filtrage des risques dans le domaine de la crypto — distincte de la base de données historique des exploits, du prix et des API on-chain du catalogue.

api.oanor.com/tokensecurity-api

Une base de données en direct des hacks, exploits et vols de cryptomonnaies et DeFi — chaque vol majeur sur chaîne jamais enregistré, alimenté par le jeu de données public DeFiLlama hacks, sans clé, rien n'est stocké. Chaque incident comporte la victime, le montant volé en dollars américains, la date, la technique d'attaque (manipulation d'oracle par flash-loan, réentrance, compromission de clé privée, exploit de contrôle d'accès et plus), une classification de niveau supérieur, la ou les chaînes impliquées, le type de cible (protocole DeFi, exchange centralisé, pont, portefeuille, jeton) et combien, le cas échéant, a été restitué ultérieurement. Le point de terminaison hacks renvoie la liste des incidents du plus récent au plus ancien, filtrable par chaîne, technique, type de cible, classification, année et perte minimale. Le point de terminaison biggest classe les plus grands exploits de tous les temps par dollars volés — des brèches de pont et d'échange de plusieurs milliards de dollars vers le bas. Le point de terminaison stats agrège l'ensemble du jeu de données : total volé, nombre d'incidents, fonds restitués, et répartitions par technique d'attaque, chaîne, type de cible et année. Il s'agit de la section crypto-sécurité et historique des exploits — données de risque et post-mortem distinctes des API de prix, marché, TVL, frais et on-chain du catalogue.

api.oanor.com/cryptohacks-api

Mathématiques du paradoxe des anniversaires et de la probabilité de collision sous forme d'API, calculées localement et de manière déterministe. Le point de terminaison de probabilité calcule la chance qu'au moins deux personnes sur n partagent un anniversaire parmi d jours également probables, P = 1 − Π(1 − i/d), évalué dans l'espace logarithmique pour plus de précision — le résultat célèbre selon lequel seulement 23 personnes donnent environ 50,7 % de chance, 50 personnes environ 97 % et 70 personnes environ 99,9 %. Le point de terminaison personnes-nécessaires l'inverse : la plus petite taille de groupe pour atteindre une probabilité cible (23 pour 50 %, 57 pour 99 %), avec l'approximation √(2·d·ln(1/(1−p))). Le point de terminaison de collision généralise la limite d'anniversaire à n'importe quel espace — passez un nombre de seaux ou une taille de hachage en bits — et renvoie la probabilité de collision P ≈ 1 − e^(−n²/2d), la règle derrière les collisions de hachage et les estimations d'unicité UUID, où une chance de 50 % nécessite environ 1,177·√d éléments. Les jours et les seaux par défaut sont 365. Tout est calculé localement et de manière déterministe, donc c'est instantané et privé. Idéal pour l'éducation aux probabilités, la sécurité, la cryptographie, le hachage, l'ingénierie des données et les développeurs d'applications statistiques, les outils de risque de collision et de problème d'anniversaire, et le matériel pédagogique. Calcul local pur — pas de clé, pas de service tiers, instantané. En direct, rien n'est stocké. 3 points de terminaison. Ceci est la probabilité d'anniversaire/collision ; pour les distributions complètes, utilisez une API de probabilité.

api.oanor.com/birthdayparadox-api

Construisez des en-têtes de réponse CORS corrects et évaluez les requêtes préliminaires — sans avoir à relire la spécification à chaque fois. Le point de terminaison headers transforme une politique simple (origines autorisées, méthodes, en-têtes de requête, si les identifiants sont autorisés, un âge maximal de pré-vérification et tous les en-têtes de réponse exposés) en l'ensemble exact d'en-têtes Access-Control-* à renvoyer, et il gère les parties que les gens se trompent : vous ne pouvez pas combiner un origin générique avec des identifiants, donc il reflète l'origine spécifique de la requête et ajoute Vary: Origin à la place ; il omet l'en-tête allow-origin lorsqu'une origine n'est pas dans votre liste ; et il avertit lorsqu'une configuration ne se comporterait pas comme prévu. Le point de terminaison check prend une requête entrante — son Origin, la méthode (demandée) et les Access-Control-Request-Headers — et vous indique si elle passerait CORS, la raison précise en cas d'échec, et les en-têtes de réponse que vous devez renvoyer. Tout est calculé localement et de manière déterministe, donc c'est instantané et privé. Idéal pour les passerelles API et les backends, les fonctions edge et serverless, le débogage des erreurs CORS du navigateur, et pour obtenir une politique de sécurité parfaitement correcte. Calcul local pur — pas de clé, pas de service tiers, instantané. En direct, rien n'est stocké. 3 points de terminaison. Cela construit et vérifie les en-têtes ; cela ne fait pas de requête cross-origin — pour inspecter les en-têtes de sécurité d'un site en direct, utilisez une API security-headers.

api.oanor.com/cors-api

Détectez et masquez les informations personnelles identifiables (PII) dans du texte libre. Il trouve les adresses e-mail, numéros de téléphone, numéros de carte de crédit (validés par Luhn pour réduire les faux positifs), adresses IPv4 et IPv6, numéros de sécurité sociale américains et IBAN, et masque chacun d'eux — avec une étiquette par type comme [EMAIL], une chaîne de remplacement fixe, ou un seul caractère répété à la longueur d'origine. Un point de terminaison detect renvoie chaque correspondance avec son type et sa position sans modifier le texte. Parfait pour nettoyer les journaux et les transcriptions de support, assainir les données avant de les partager ou de les envoyer à un tiers, et pour les vérifications préalables de confidentialité et de conformité. Calcul local pur — le texte ne quitte jamais le serveur, pas de clé, pas de tiers, instantané ; jusqu'à 200 000 caractères via POST. En direct, rien n'est stocké. 3 points de terminaison. Basé sur des expressions régulières et au mieux — à vérifier avant de l'utiliser pour la conformité légale. Distinct de l'analyse des sentiments, des grossièretés et des outils de traitement de texte généraux.

api.oanor.com/redact-api

Échapper une chaîne pour qu'elle puisse être insérée en toute sécurité dans un contexte spécifique. Choisissez une cible — une expression régulière (pour que le texte corresponde littéralement), une commande shell (encapsulation entre guillemets simples POSIX), une chaîne JSON, un champ CSV (encapsulation selon la RFC 4180) ou un littéral de chaîne SQL — et obtenez la valeur correctement échappée, ainsi qu'une courte note sur la règle appliquée. Le point de terminaison contexts liste chaque cible avec un exemple concret. Parfait pour la génération de code, la construction de commandes et de requêtes, le templating et l'export de données, et l'interpolation sécurisée des entrées utilisateur. Calcul local pur — pas de clé, pas de service tiers, instantané. En direct, rien n'est stocké. 3 points de terminaison. Le contexte SQL est un littéral entre guillemets pour plus de commodité, pas un remplacement des requêtes paramétrées. Distinct des encodeurs base64/hex/URL/entités HTML.

api.oanor.com/escape-api

Générez des paires de clés cryptographiques à la demande — RSA (2048/3072/4096), courbe elliptique (P-256, P-384, P-521, secp256k1), Ed25519 et Ed448 — renvoyées au format PEM (clé publique SPKI, clé privée PKCS#8) et, optionnellement, au format JWK. Parfait pour créer rapidement des clés de signature JWT/JWS, des expériences TLS et SSH, des fixtures de test et des démos. Génération locale pure avec le module crypto de Node (aucun service tiers). Note : pour le développement, les tests et l'éducation — générez les clés pour les systèmes de production hors ligne ou dans un HSM, ne faites jamais confiance à une API distante avec de vraies clés privées. En direct, rien n'est stocké. 3 points de terminaison. Distinct de la signature JWT, de la génération de mots de passe et du hachage.

api.oanor.com/keypair-api

Rendez le HTML non fiable sûr à afficher. Envoyez n'importe quel HTML — un commentaire, une soumission de texte enrichi, un extrait d'e-mail ou une page récupérée — et recevez une version propre et sans XSS : les balises <script>, les gestionnaires d'événements en ligne (onclick, onerror), les URL javascript:, <iframe>, <style> et tout ce qui n'est pas sur la liste blanche sont supprimés. Remplacez les balises et attributs autorisés selon vos besoins, ou supprimez complètement les liens. Un point de terminaison strip renvoie du texte brut avec tout le balisage supprimé. Nettoyage local pur — pas de clé, pas de service tiers, instantané. En direct. 3 points de terminaison. Conçu pour le contenu généré par les utilisateurs, les systèmes de commentaires, les éditeurs de texte enrichi, le rendu d'e-mails et tout endroit où du HTML non fiable atteint un navigateur. Distinct d'un rendu Markdown ou d'un extracteur de données HTML.

api.oanor.com/htmlsanitize-api

Détectez le vrai type d'un fichier à partir de son contenu — ses octets magiques / signature binaire — et non de son nom. Envoyez un fichier par URL ou base64 et obtenez l'extension réelle et le type MIME, reconnaissant plus de 100 formats binaires : images (PNG, JPEG, GIF, WebP, AVIF, HEIC), audio et vidéo (MP3, MP4, WAV, FLAC, MKV), archives (ZIP, GZIP, 7z, RAR, TAR), documents (PDF, DOCX, XLSX), polices et plus. Optionnellement, passez un nom de fichier pour signaler une extension usurpée (par ex. un PNG renommé en .txt). Les formats texte comme TXT, CSV, JSON et SVG n'ont pas de signature et retournent detected=false. La détection est locale — pas de clé, pas de service tiers. En direct, rien n'est stocké. 2 endpoints. Conçu pour la validation sécurisée des téléchargements, les contrôles anti-usurpation, les pipelines de contenu et la criminalistique. Distinct d'une recherche extension-vers-MIME.

api.oanor.com/filetype-api

Inspectez la posture de sécurité du transport SMTP d'un domaine — si les serveurs de messagerie sont tenus de livrer le courrier entrant via TLS authentifié, le protégeant ainsi des attaques de déclassement et d'homme du milieu. Fournissez un domaine et le service récupère le fichier de politique MTA-STS depuis mta-sts.<domaine>/.well-known/mta-sts.txt (sa version, son mode, les hôtes MX autorisés et max_age), l'enregistrement DNS TXT _mta-sts (son identifiant de politique) et l'enregistrement TLS-RPT _smtp._tls (l'adresse de rapport rua), puis indique si MTA-STS est effectivement appliqué et une liste priorisée de problèmes — absence de fichier de politique, absence d'enregistrement DNS, mode "testing" uniquement, ou absence d'enregistrement TLS-RPT. Un second point de terminaison renvoie uniquement le fichier de politique analysé. La requête est effectuée côté serveur et les cibles privées/internes sont refusées (protégé contre SSRF). Conçu pour les audits de délivrabilité des e-mails et de protection contre les attaques de déclassement, l'évaluation des fournisseurs et des tiers, et la conformité. Un vérificateur MTA-STS / TLS-RPT — l'équivalent de la sécurité du transport SMTP de l'analyseur d'authentification des e-mails (emailsec, qui couvre SPF, DKIM et DMARC), et distinct de la recherche DNS brute (dns). Pas de clé en amont, pas de cache.

api.oanor.com/mtasts-api

Inspectez n'importe quel fournisseur OpenID Connect / OAuth 2.0. Passez un émetteur (un domaine, une URL d'émetteur ou l'URL de découverte complète) et le service récupère le document de découverte du fournisseur à /.well-known/openid-configuration, analyse chaque point de terminaison — autorisation, jeton, userinfo, jwks, enregistrement, fin de session, introspection, révocation et autorisation d'appareil — ainsi que les portées prises en charge, les types de réponse, les types d'octroi, les algorithmes de signature de jeton ID, les méthodes PKCE et les revendications, puis récupère le JWKS et résume ses clés de signature (nombre, algorithmes, types de clés et identifiants de clé), et rapporte une vérification de validité avec tout problème. Un deuxième point de terminaison récupère et résume tout ensemble de clés Web JSON par lui-même. La requête est effectuée côté serveur et les cibles privées/internes sont refusées (protégé contre SSRF). Conçu pour l'intégration SSO et OAuth/OIDC, le débogage de configuration de fournisseur d'identité (Auth0, Okta, Keycloak, Azure AD, Google), la révision de sécurité et la surveillance de la rotation des clés de signature. Un inspecteur de découverte OIDC / JWKS — distinct de la boîte à outils JWT (jwt), de l'analyseur security.txt (securitytxt) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). Pas de clé en amont, pas de cache.

api.oanor.com/oidc-api

Générez des hachages d'intégrité des sous-ressources (SRI) pour toute ressource web, afin que les navigateurs puissent vérifier qu'un script ou une feuille de style hébergé sur un CDN n'a pas été altéré. Passez une URL et le service récupère la ressource et renvoie ses hachages SRI sha256, sha384 et sha512, la valeur d'intégrité choisie (sha384 par défaut, ou passez votre algorithme préféré), la taille et le type de contenu de la ressource, ainsi qu'une balise <script> ou <link> prête à coller avec les attributs integrity et crossorigin. Un point de terminaison de vérification récupère à nouveau la ressource et vous indique si elle correspond toujours à une chaîne d'intégrité connue — détectant les modifications silencieuses du CDN ou les altérations de la chaîne d'approvisionnement avant que vos utilisateurs ne les rencontrent. La requête est effectuée côté serveur ; les cibles privées et internes sont refusées (protégé contre les SSRF). Conçu pour sécuriser les scripts tiers, renforcer la chaîne d'approvisionnement, les pipelines de construction et la conformité CSP/SRI. Un générateur et vérificateur d'intégrité des sous-ressources — distinct du hachage cryptographique brut des données d'entrée (hash), du vérificateur d'en-têtes de sécurité HTTP (secheaders) et du contrôle de certificat SSL/TLS (sslcheck). Pas de clé en amont, pas de cache.

api.oanor.com/sri-api

Priorisez les CVE en fonction du risque d'exploitation dans le monde réel — pas seulement de la gravité. Combine le score EPSS de FIRST.org (la probabilité, de 0 à 1, qu'une CVE soit exploitée dans les 30 prochains jours, avec son rang centile) et le catalogue KEV de la CISA (vulnérabilités confirmées comme étant activement exploitées dans la nature — avec le fournisseur, le produit, la date d'ajout, la date d'échéance de correction et si la faille est utilisée dans des campagnes de ransomware), et dérive un seul niveau de priorité pour chaque CVE. Recherchez jusqu'à 25 CVE en un seul appel, parcourez l'intégralité du catalogue des vulnérabilités connues exploitées de la CISA filtré par fournisseur, produit ou utilisation de ransomware, ou listez les CVE avec les scores EPSS les plus élevés actuellement. Conçu pour la gestion des vulnérabilités, la priorisation des correctifs, la notation des risques et les tableaux de bord de sécurité — répondant non pas « à quel point cela pourrait-il être grave ? » mais « quelle est la probabilité qu'il soit réellement exploité ? ». Une couche de priorisation des vulnérabilités — distincte des détails bruts des CVE et de la gravité CVSS (cve), des vérifications de fuites de mots de passe (pwned) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). Données en direct de FIRST.org et de la CISA. Pas de clé en amont, pas de cache.

api.oanor.com/vulnintel-api

Inspectez la posture d'authentification des e-mails de n'importe quel domaine — sa protection contre l'usurpation et l'hameçonnage — via DNS en direct. Passez un domaine et le service recherche et valide SPF (l'enregistrement v=spf1, son qualificateur all et la limite de 10 recherches), DMARC (la politique _dmarc p=none/quarantine/reject, plus sp, pct et les adresses de rapport rua/ruf), DKIM (en sondant les sélecteurs courants à selector._domainkey, ou passez le vôtre), BIMI et les serveurs MX — puis renvoie une note de A+ à F avec une liste priorisée des problèmes et des conseils concrets. Un deuxième point de terminaison analyse l'enregistrement DMARC balise par balise avec une interprétation en langage clair de la politique. Conçu pour les audits de délivrabilité des e-mails et anti-usurpation, l'évaluation des risques des fournisseurs et tiers, l'intégration de sécurité et la surveillance continue. Un analyseur d'authentification des e-mails — distinct de la validation de boîte aux lettres/adresse (email), de la recherche brute d'enregistrements DNS (dns) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). DNS en direct pur, aucune clé en amont, aucun cache.

api.oanor.com/emailsec-api

Récupère et analyse le fichier security.txt RFC 9116 de n'importe quel domaine — le fichier lisible par machine à /.well-known/security.txt qui indique aux chercheurs en sécurité comment signaler des vulnérabilités. Passez un domaine et le service localise le fichier (le chemin canonique .well-known avec une solution de repli racine héritée), analyse chaque champ — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring et CSAF — et indique s'il est valide (a au moins un Contact et un seul Expires non expiré), s'il est signé PGP, s'il a expiré (avec le nombre de jours restants) et une liste de problèmes avec des conseils concrets. Un point de terminaison compagnon renvoie le fichier brut. La requête est effectuée côté serveur ; les cibles privées et internes sont refusées (protégé contre SSRF). Conçu pour les audits de sécurité, l'évaluation des risques des fournisseurs et tiers, les examens de surface d'attaque et les vérifications de conformité des politiques de divulgation des vulnérabilités. Un analyseur et validateur security.txt — distinct du vérificateur d'en-têtes de sécurité HTTP (secheaders), de la vérification de certificat SSL/TLS (sslcheck) et de l'accessibilité de l'hôte (hostcheck). Pas de clé amont, pas de cache.

api.oanor.com/securitytxt-api

Récupérez n'importe quelle URL et analysez ses en-têtes de sécurité de réponse HTTP — en notant le site de A+ à F comme le font securityheaders.com et Mozilla Observatory. Passez une URL et le service effectue la requête côté serveur (en suivant les redirections), puis signale quels en-têtes de protection sont présents, lesquels sont manquants (avec des conseils de correction concrets) et quels en-têtes de réponse divulguent des informations. Les en-têtes notés incluent Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy et Cross-Origin-Opener-Policy ; les en-têtes de fuite d'informations incluent Server et X-Powered-By. Un point d'accès compagnon renvoie chaque en-tête de réponse brute. Les cibles privées et internes sont refusées (protégées contre SSRF). Conçu pour les audits de sécurité, les portes de sécurité CI/CD, les revues de surface d'attaque et les contrôles de conformité. Un évaluateur d'en-têtes de sécurité — distinct de la vérification du certificat SSL/TLS (sslcheck), de l'accessibilité de l'hôte (hostcheck), de la référence des codes d'état HTTP de l'IANA (http) et de l'audit SEO sur la page (seo). Pas de clé en amont, pas de cache.

api.oanor.com/secheaders-api

Consultez le réseau Tor en direct via une API — alimentée par le service officiel Onionoo du Tor Project et la liste canonique des nœuds de sortie en masse. Vérifiez si une adresse IPv4 ou IPv6 est un relais Tor (is_tor_relay) et si c'est un nœud de sortie par lequel les clients quittent le réseau (is_exit_node, corroboré avec la liste de sortie en masse), renvoyant le ou les enregistrements de relais complets correspondants : surnom, empreinte, drapeaux, pays, système autonome, bande passante annoncée, résumé de la politique de sortie et dates de première/dernière apparition. Ou recherchez la liste publique des relais par surnom, empreinte, IP, pays ou drapeau (Exit, Guard, Fast, Stable…) avec pagination. Conçu pour le triage des fraudes et abus, l'évaluation des risques de connexion, le filtrage des commentaires et inscriptions, et la recherche réseau — sachant en un coup d'œil si une connexion provient du réseau Tor. Les données de plage sont récupérées en direct depuis le Tor Project, donc toujours à jour. Une recherche sur le réseau Tor — distincte de l'attribution cloud/CDN (cloudips), de la géolocalisation IP (ipgeo), de la propriété ASN/BGP (asn, ripestat) et de l'exposition des ports ouverts (internetdb). Pas de clé en amont, pas de cache.

api.oanor.com/tor-api

Attribuez n'importe quelle adresse IP au fournisseur cloud, CDN, région et service qui la possède — à partir des listes officielles de plages IP publiées par AWS, Google Cloud, Cloudflare, Oracle Cloud (OCI), Fastly et GitHub. Passez une adresse IPv4 ou IPv6 et obtenez chaque préfixe correspondant avec son fournisseur, sa région/portée et son service, ainsi qu'un indicateur is_cloud qui vous indique en un coup d'œil si l'adresse appartient à un cloud ou CDN connu — ou listez les plages publiées d'un seul fournisseur, filtrées par région, service et version IP. Conçu pour les listes blanches de pare-feu, le tri des abus et fraudes, la classification des bots et du trafic sortant, la défense SSRF et la connaissance de l'origine du trafic entrant ou sortant (cloud ou CDN). Les données de plages sont récupérées en direct depuis la liste publique canonique de chaque fournisseur, donc toujours à jour. Un service d'attribution IP cloud/CDN — distinct de la géolocalisation IP (ipgeo), de la propriété ASN/BGP (asn, ripestat), de l'exposition des ports ouverts (internetdb) et des registres de ports/protocoles IANA (netports, ipprotocols). Pas de clé en amont, pas de cache.

api.oanor.com/cloudips-api

Voyez ce que tout hôte expose à Internet — via une API sur l'InternetDB gratuit de Shodan. Donnez-lui une adresse IPv4/IPv6 (ou un nom d'hôte, qui est résolu en son IP) et obtenez la surface d'attaque de cet hôte : les ports ouverts (annotés avec les noms de services courants), les produits et technologies détectés (CPE), ses noms d'hôte inversés, les tags de classification de Shodan, et les vulnérabilités connues (identifiants CVE) observées sur ses services. Une vue dédiée aux vulnérabilités renvoie uniquement les CVE et indique si l'hôte semble vulnérable. C'est rapide, ne nécessite aucune clé, et est conçu pour les workflows de sécurité, de découverte d'actifs, de surveillance de surface d'attaque externe et de reconnaissance. Une ressource d'exposition réseau / surface d'attaque — distincte de la géolocalisation IP (où se trouve une adresse), du registre des ports IANA (ce que signifie un numéro de port) et des bases de données CVE (ce qu'est une vulnérabilité). Données provenant de Shodan InternetDB (utilisation gratuite / non commerciale).

api.oanor.com/internetdb-api

Vérifiez si un mot de passe est apparu dans des fuites de données connues — en tant qu'API sur le corpus Pwned Passwords de Have I Been Pwned (800+ millions de mots de passe compromis uniques). Il utilise l'anonymat k : seuls les 5 premiers caractères du hachage SHA-1 d'un mot de passe sont envoyés en amont, de sorte que le mot de passe lui-même ne quitte jamais complètement le système. Transmettez un mot de passe (haché en mémoire, jamais stocké ni journalisé — envoyez-le via POST pour qu'il n'apparaisse jamais dans une URL/un journal) ou un hachage SHA-1 pour savoir s'il a été compromis et combien de fois ; ou récupérez une plage d'anonymat k brute pour un préfixe de hachage de 5 caractères et effectuez la correspondance entièrement de votre côté pour une exposition nulle du mot de passe. Le filtrage des inscriptions et des réinitialisations de mot de passe par rapport aux listes de mots de passe compromis est recommandé par NIST 800-63b, et cela en fait une vérification en un seul appel. Une ressource de sécurité des fuites / informations d'identification — distincte des générateurs de mots de passe, du hachage cryptographique et de bcrypt. Données ouvertes de Have I Been Pwned (Troy Hunt), CC BY 4.0.

api.oanor.com/pwned-api

Intelligence sur la chaîne d'approvisionnement logicielle et les dépendances sous forme d'API, propulsée par deps.dev — le service Open Source Insights de Google. Sur six écosystèmes de packages (npm, PyPI, Maven, Cargo, Go et NuGet), il répond aux questions qu'un registre ne peut pas : qu'est-ce que l'installation de ce package implique réellement, et quelle est la santé du projet derrière ? Listez les versions publiées d'un package et sa version par défaut ; lisez les licences déclarées d'une version spécifique, les clés de tout avis de sécurité connu, les liens utiles (dépôt source, page d'accueil, suivi de problèmes) et les projets connexes ; résolvez le graphe de dépendances TRANSITIF complet d'une version — le nombre total de dépendances, les dépendances directes et chaque nœud transitif avec sa version résolue exacte et s'il s'agit d'une dépendance directe ou indirecte ; et consultez le Scorecard OpenSSF d'un projet source — le score de sécurité global ainsi que les résultats par vérification pour Maintenu, Révision de code, Protection de branche, Workflow dangereux, Vulnérabilités et plus encore — accompagné de ses étoiles, forks, problèmes ouverts, licence et page d'accueil. Pour les modules Go et les artefacts Maven, le nom du package est le chemin complet du module ou groupe:artefact (encodé URL automatiquement). Idéal pour l'audit de dépendances, l'enrichissement de logiciels-bill-of-materials (SBOM), l'évaluation des risques de la chaîne d'approvisionnement et les outils de conformité des licences. Données provenant de deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

La base de données des vulnérabilités open source (OSV / osv.dev) sous forme d'API — le contrôle de sécurité de la chaîne d'approvisionnement pour les dépendances open source. Scannez n'importe quelle version de package (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex et plus) et découvrez instantanément si elle est affectée par des vulnérabilités connues, avec la sévérité de chaque avis, le score CVSS, les alias CVE, la faiblesse CWE et les références ; listez tous les avis jamais publiés pour un package ; et consultez un seul avis (GHSA, PYSEC, GO, RUSTSEC, CVE…) en détail complet, y compris les packages affectés et les plages de versions. En direct depuis la base de données officielle OSV.dev de Google, qui agrège les avis de sécurité GitHub, PyPA, RustSec, Go et de nombreuses autres sources. Idéal pour l'analyse des dépendances, les outils SBOM et de chaîne d'approvisionnement, les portes de sécurité CI et les tableaux de bord devsecops. Données ouvertes.

api.oanor.com/osv-api

Vérifiez le certificat SSL/TLS de n'importe quel site web en tant qu'API. Passez un domaine et le service effectue une poignée de main TLS en direct et renvoie le sujet et l'émetteur du certificat, la fenêtre de validité, le nombre exact de jours avant son expiration, s'il est actuellement valide et approuvé par une chaîne d'autorité de certification standard, le protocole TLS négocié, le numéro de série, l'empreinte SHA-256, la taille de la clé et la liste complète des noms alternatifs du sujet (SAN). Un point de terminaison d'expiration léger renvoie un statut simple ok / expiring_soon / expired, parfait pour la surveillance de la disponibilité et de l'expiration des certificats, les tableaux de bord, les vérifications CI et les outils de sécurité. Autonome — aucun service tiers. Les adresses IP et les hôtes internes ne sont pas pris en charge.

api.oanor.com/sslcheck-api

Recherchez des vulnérabilités logicielles par leur identifiant CVE et obtenez des détails propres et structurés — titre, description, score CVSS, sévérité et vecteur, types de faiblesse CWE, fournisseurs et produits affectés avec plages de versions, et liens de référence — plus recherchez toutes les CVE affectant un fournisseur ou produit donné, et diffusez les CVE les plus récemment publiées. Provenant du service CIRCL CVE Search sur les données officielles CVE Record 5.1 et renvoyées sous forme de JSON propre via une API rapide et fiable. Idéal pour la gestion des vulnérabilités et les outils SOC, les pipelines DevSecOps et SCA, les tableaux de bord de sécurité, la conformité et la surveillance des risques liés aux actifs.

api.oanor.com/cve-api

Hachez et vérifiez des mots de passe avec bcrypt, côté serveur. Générez un hachage bcrypt salé à un facteur de coût de votre choix (4–14), vérifiez un mot de passe en clair par rapport à un hachage existant, ou inspectez un hachage pour lire sa version bcrypt, son facteur de coût et son sel. Entièrement compatible avec les hachages bcrypt de PHP ($2y$), Node, Python et autres, vous pouvez donc vérifier et migrer des identifiants existants. Calcul pur côté serveur sans tiers en amont, donc toujours disponible — et il décharge le travail de hachage délibérément intensif en CPU de vos propres serveurs. Idéal pour ajouter l'authentification par mot de passe, la migration d'identifiants, les outils d'authentification, les tests et les backends sans code.

api.oanor.com/bcrypt-api

Ajoutez et testez l'authentification à deux facteurs sans vous embêter avec une bibliothèque cryptographique. Générez un nouveau secret base32 avec un URI otpauth prêt à scanner, calculez le code unique temporel actuel (RFC 6238), vérifiez un code soumis par un utilisateur avec une fenêtre de dérive ajustable, ou construisez un URI otpauth:// pour n'importe quel secret. Prend en charge SHA-1, SHA-256 et SHA-512, de 6 à 8 chiffres et une période personnalisée, et est entièrement compatible avec Google Authenticator, Authy, 1Password et autres applications d'authentification. Calcul pur côté serveur sans tiers amont, donc les réponses sont instantanées et le service est toujours disponible. Idéal pour ajouter la 2FA aux applications, aux outils d'authentification, à l'assurance qualité et aux tests, et à l'automatisation sans code.

api.oanor.com/totp-api

Une boîte à outils JSON Web Token rapide et entièrement locale : signez une charge utile JSON en un JWT, vérifiez la signature d'un jeton ainsi que ses revendications exp et nbf à l'aide d'une comparaison en temps constant, et décodez l'en-tête et la charge utile d'un jeton sans vérification. Prend en charge les algorithmes HMAC HS256, HS384 et HS512, ajoute automatiquement la revendication iat et une revendication exp à partir de expires_in. Construit sur Node crypto et les secrets ne sont jamais journalisés, donc les réponses sont instantanées, privées et toujours disponibles. Chaque point de terminaison accepte les entrées via la chaîne de requête ou le corps de la requête. Idéal pour l'authentification, les passerelles API, les outils de session et de jeton, les microservices et les webhooks.

api.oanor.com/jwt-api

Une boîte à outils MIME et de type de fichier rapide et entièrement locale : recherchez le type MIME, le jeu de caractères et la catégorie d'un nom de fichier ou d'une extension, listez chaque extension de fichier enregistrée pour un type MIME, et détectez le type réel d'un fichier à partir de ses octets magiques (plus de 40 signatures, y compris la désambiguïsation du conteneur RIFF pour WEBP, WAV et AVI), en acceptant une entrée hexadécimale ou en base64. Chaque point de terminaison accepte une entrée via la chaîne de requête ou le corps de la requête. Calcul pur côté serveur, sans tiers en amont, donc les réponses sont instantanées et toujours disponibles. Idéal pour la validation des téléchargements, la sécurité (vérifier le type réel d'un fichier par rapport à son extension déclarée), les CDN et les pipelines de contenu.

api.oanor.com/mime-api

Une boîte à outils de mots de passe rapide et entièrement locale : générez des mots de passe aléatoires cryptographiquement sécurisés (longueur configurable, classes de caractères et exclusion des similaires), estimez la force des mots de passe (bits d'entropie, un score de 0 à 4, répartition des classes de caractères, détection des mots de passe courants, estimation du temps de craquage hors ligne et commentaires exploitables), et créez des phrases de passe mémorables de type diceware. Construit sur Node crypto, sans tiers upstream, et les entrées ne sont jamais journalisées — les réponses sont donc instantanées, privées et toujours disponibles. Idéal pour les flux d'inscription et de compte, les outils d'administration, les gestionnaires de mots de passe et les fonctionnalités de sécurité.

api.oanor.com/password-api

Parcourez et recherchez la liste officielle des personnes recherchées par le FBI — fugitifs, personnes disparues, terroristes et cas de recherche d'informations — avec accusations, mises en garde, récompenses, descriptions physiques, bureaux extérieurs et photos. Utile pour les applications d'actualités, de sécurité publique, de recherche en sécurité et OSINT.

api.oanor.com/fbi-api

Résolvez les enregistrements DNS — A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR — pour n'importe quel domaine, récupérez tous les enregistrements courants en un seul appel, ou effectuez une recherche PTR inverse pour une adresse IPv4. Soutenu par Google DNS-over-HTTPS. Idéal pour les outils devops, les vérifications de disponibilité et de délivrabilité des e-mails (SPF/DKIM/DMARC), la recherche en sécurité et la surveillance de domaine.

api.oanor.com/dns-api