#security

Live on-chain data voor Shentu (chain id shentu-2.2) — de op beveiliging gerichte Cosmos-SDK Layer-1 van het CertiK ecosysteem, waarvan de native token CTK is — rechtstreeks bediend vanaf openbare LCD/REST-nodes met multi-node failover. Het status-eindpunt retourneert de laatste blockhoogte en -tijd, chain id, de staking bond denom en de huidige minting inflatie. Het validators-eindpunt geeft de actieve gebonden validator set gerangschikt op inzet, elk met zijn moniker, operatoradres, zelf-plus-gedelegeerde CTK, commissietarief en jailed-vlag. Het supply-eindpunt retourneert de totale CTK-voorraad, het bedrag dat is gebonden in staking en de resulterende bonded ratio. Het governance-eindpunt retourneert de meest recente on-chain voorstellen met hun id, titel, status en stemvenster. Tokenbedragen worden omgezet van basis micro-CTK (6 decimalen) naar hele CTK, en elk cijfer wordt live van de chain gelezen — niets gebundeld of gemodelleerd — achter een korte server-side cache met keep-warm zodat de feed snel en vers blijft. Ideaal voor staking-dashboards, validator- en delegator-tooling, explorers, governance-trackers en portfolio- of analytics-apps in het Cosmos- en beveiligingsinfrastructuur-ecosysteem. Live keyless upstream. 5 endpoints.

api.oanor.com/shentu-api

Inspecteer live geïmplementeerde Solana-programma's vanaf de openbare Solana RPC — geen key — en beantwoord de vraag die het meest belangrijk is voor veiligheid: kan dit programma nog worden gewijzigd, en door wie? Voor elk programma-adres lost het de loader op waaronder het draait, of het uitvoerbaar is, het on-chain ProgramData-account, de upgrade-autoriteit (of dat het onveranderlijk / bevroren is gemaakt), en de slot waarop het voor het laatst is geïmplementeerd. Een batch-endpoint auditeert maximaal twaalf programma's tegelijk — perfect voor het controleren van de upgrade-autoriteit van elk programma waar een protocol van afhankelijk is voordat u het vertrouwt — en een loaders-endpoint documenteert de program loaders van Solana. Anders dan balance-, token- en transactie-API's: dit is de programma- en upgrade-autoriteitslaag waar auditors, wallets en beveiligingstools op vertrouwen om te beoordelen of een Solana-programma veilig is. Live vanaf de chain; alleen korte cache.

api.oanor.com/solanaprogram-api

Bepaal of een domein een bekend crypto-phishing- of scam-site is voordat een wallet of gebruiker er verbinding mee maakt — met behulp van MetaMask's canonieke eth-phishing-detect blokkeerlijst, dezelfde lijst die miljoenen MetaMask-gebruikers beschermt, sleutelloos en live. Het voert de echte detectielogica uit: een exacte en subdomein-match tegen de blokkeerlijst en toegestane lijst, plus een Levenshtein fuzzy match tegen hoogwaardige lookalike-doelen om typosquats zoals "myetherwaliet.com" of "app-wallet-uniswap.org" te vangen. Controleer een domein of URL voor een verdict (geblokkeerd, toegestaan, fuzzy of onbekend) met de reden, doorzoek de blokkeerlijst van 190.000 items, of lees de statistieken. De dApp-verbindingsveiligheidslaag die elke wallet, browserextensie, Telegram-bot en beveiligingstool nodig heeft om gebruikers te waarschuwen voordat ze ondertekenen. Live, licht gecached.

api.oanor.com/phishingcheck-api

Lees de ruwe EVM-opslag van elk slim contract live via de openbare JSON-RPC van de keten, decodeer elk 32-byte woord als een adres, uint of bool, en los proxy-implementatiepointers op voor elke gangbare proxystandaard — EIP-1967, EIP-1822/UUPS en de legacy OpenZeppelin/zeppelinos-slot, plus beacon-proxy's. Zo kom je te weten waar een proxy daadwerkelijk naar verwijst, wie de beheerder is, of wat een contract opslaat — zelfs voor niet-geverifieerde contracten waar bron en ABI niet beschikbaar zijn. Geef het een keten en een adres: lees één slot, scan de eerste N slots om de statuslay-out te bekijken, of los automatisch de proxy-implementatie op. De on-chain statusinspectielaag voor auditors, upgrademonitors en beveiligingstools, op Ethereum, Base, Arbitrum, Optimism, BNB, Polygon en meer. Live, alleen korte cache.

api.oanor.com/storageslot-api

Haal de geïmplementeerde EVM-bytecode van elk slim contract live op van de openbare JSON-RPC van de keten, demonteer het in menselijk leesbare opcodes en extraheer de 4-byte functieselectors uit de dispatcher. In tegenstelling tot bronverificatie of 4-byte mappen werkt dit op ELK geïmplementeerd contract — geverifieerd of niet — dus het onthult de ruwe on-chain logica van contracten waarvan niemand de bron heeft gepubliceerd. Geef het een keten en een adres en ontvang de runtime-bytecode, een volledige offset-voor-offset opcode-demontage (gepagineerd) en de gedetecteerde functieselectors. De reverse-engineeringlaag voor auditors, MEV-zoekers en beveiligingstools. Leest rechtstreeks van de keten over Ethereum, Base, Arbitrum, Optimism, BNB, Polygon en meer. Live, alleen korte cache.

api.oanor.com/bytecode-api

Inspecteer elke Safe (voorheen Gnosis Safe) multisig slimme portemonnee, zonder API-Key. Voor elk Safe-adres op elke ondersteunde keten retourneert het de multisig-configuratie — de eigenaar-ondertekenaars, de handtekeningdrempel (de M-of-N), de huidige nonce, de ingeschakelde modules, guard en contractversie — en de Safe-tokensaldi (native + ERC-20, met symbolen en bedragen). De multisig-inspectielaag voor DAO-schatkisten, beveiliging, due-diligence, portemonnee- en dashboardtooling. Live, niets opgeslagen. Ondersteund door de open Safe Transaction Service.

api.oanor.com/safe-api

Controleer of de broncode van een EVM slim contract is geverifieerd en haal de ABI, bronbestanden en implementatiedetails op, keyless. Geef het een chain id en contractadres en ontvang de verificatiestatus (volledig / gedeeltelijk / niet geverifieerd), de compiler en contractnaam, de implementatie-info (deployer, transactie, block), de contract-ABI (de JSON-interface die elke integratie nodig heeft), en de geverifieerde Solidity-bron. Live, niets opgeslagen. De contract-verificatie / ABI-laag voor beveiliging, due diligence, block-explorer, wallet en dapp-tooling — ondersteund door de open Sourcify-registry, onderscheiden van prijs-, TVL- en chain-registry-API's.

api.oanor.com/contractverify-api

Live-audit van de token approvals (allowances) die een crypto-wallet heeft verleend, en het risico van de contracten die het heeft goedgekeurd om zijn tokens uit te geven — aangedreven door de openbare GoPlus Security-gegevens, geen key, niets opgeslagen. Token approvals zijn de meest voorkomende manier waarop wallets worden leeggehaald: zodra je een contract goedkeurt om een token te verplaatsen, kan een kwaadaardige of gecompromitteerde spender het op elk gewenst moment nemen. Dit is de allowance-hygiënelaag — de data achter tools zoals revoke.cash. Het approvals-eindpunt geeft elke token weer die een wallet heeft goedgekeurd, wie het heeft goedgekeurd (het spender-contract), hoeveel er is goedgekeurd en wanneer, en of die spender is gemarkeerd als kwaadaardig, vertrouwd of onbevestigd, samen met een risicosamenvatting die de gevaarlijke approvals telt om in te trekken. Het contract-eindpunt profileert een enkel spender-contract voordat je het goedkeurt — de naam, of het open-source is, de maker, implementatietijd en risicotags. Het chains-eindpunt geeft de meer dan 40 ondersteunde blockchains weer. Vang wallet-leeglopende allowances voordat ze een gebruiker alles kosten. Dit is de approval / allowance-risk cut — anders dan de token-contract-security, scam-detection en on-chain API's in de catalogus.

api.oanor.com/approvalsecurity-api

Live crypto scam, phishing en dApp-veiligheidscontroles voor de dingen waar een gebruiker daadwerkelijk op klikt of koopt — de consumentenbeschermingslaag, aangedreven door de openbare GoPlus Security-gegevens, geen key, niets opgeslagen. Voordat u een wallet verbindt met een website, een transactie ondertekent of een NFT mint, vraag of het veilig is. Het phishing-endpoint controleert of een URL een bekende crypto-phishingsite is. Het dapp-endpoint retourneert de audit- en vertrouwensstatus van een gedecentraliseerde app — de projectnaam, of het is geaudit, of GoPlus het als een vertrouwd project vermeldt, en de auditfirma's en -datums. Het nft-endpoint scant een NFT-collectiecontract op risico — of het is geverifieerd of een neppe, open-source of een proxy, of de eigenaar tokens kan minten, verbranden of verplaatsen zonder goedkeuring, of de metadata is bevroren, plus de item-, houder- en 24-uurs handelsvolumecijfers. Stop phishingsites, neppe NFT-collecties en niet-geaudite dApps voordat ze een gebruiker hun geld kosten. Dit is de website / dApp / NFT-scamdetectie-snede — anders dan de tokencontract-en-walletbeveiliging, de historische-exploitdatabase en de prijs-API's in de catalogus.

api.oanor.com/scamcheck-api

Live smart-contract risico- en veiligheidsanalyse voor crypto-tokens en wallet-adressen — de on-chain due-diligence check die u moet uitvoeren voordat u een token koopt of met een adres interageert, aangedreven door de openbare GoPlus Security data, geen key, niets opgeslagen. Het token-endpoint scant een ERC-20-achtig contract op elke ondersteunde chain en retourneert of het een honeypot is, de buy- en sell-tax, of het mintable is of een verborgen of bevoorrechte eigenaar heeft die de handel kan pauzeren of het eigendom kan terugnemen, of het open-source of een proxy is, en de holder- en LP-holder-aantallen. Het adres-endpoint screent een wallet-adres op twintig risicosignalen — cybercrime, witwassen, phishing, sancties, diefstalaanvallen, honeypot-gerelateerde adressen en meer — en rapporteert precies welke, indien van toepassing, zijn gemarkeerd. Het chains-endpoint vermeldt de 40+ ondersteunde blockchains. Vang scam-tokens, honeypots en besmette adressen voordat ze u geld kosten. Dit is de real-time contractbeveiliging en risicoscreening van crypto — te onderscheiden van de historische exploit-database, de prijs en de on-chain API's in de catalogus.

api.oanor.com/tokensecurity-api

Een live database van cryptocurrency- en DeFi-hacks, exploits en diefstallen — elke grote on-chain diefstal ooit geregistreerd, aangedreven door de openbare DeFiLlama hacks-dataset, geen key, niets opgeslagen. Elk incident bevat het slachtoffer, het gestolen bedrag in Amerikaanse dollars, de datum, de aanvalstechniek (flash-loan oracle manipulation, reentrancy, private-key compromise, access-control exploit en meer), een classificatie op hoger niveau, de chain(s) die erbij betrokken zijn, het doeltype (DeFi-protocol, gecentraliseerde exchange, bridge, wallet, token) en hoeveel, indien van toepassing, later is teruggegeven. De hacks-endpoint retourneert de incidentenlijst nieuwste eerst, filterbaar op chain, techniek, doeltype, classificatie, jaar en minimaal verlies. De biggest-endpoint rangschikt de grootste exploits aller tijden op gestolen dollars — van de miljarden kostende bridge- en exchange-inbreuken tot kleinere. De stats-endpoint aggregeert de volledige dataset: totaal gestolen, aantal incidenten, teruggegeven fondsen en uitsplitsingen per aanvalstechniek, chain, doeltype en jaar. Dit is de crypto-beveiligings- en exploit-geschiedenis — risico- en post-mortemgegevens, anders dan de prijs-, markt-, TVL-, kosten- en on-chain API's in de catalogus.

api.oanor.com/cryptohacks-api

Verjaardagsparadox- en botsingskansberekeningen als een API, lokaal en deterministisch berekend. Het kans-eindpunt berekent de kans dat ten minste twee van n personen dezelfde verjaardag delen onder d even waarschijnlijke dagen, P = 1 − Π(1 − i/d), geëvalueerd in logruimte voor nauwkeurigheid — het beroemde resultaat dat slechts 23 personen ongeveer 50,7% kans geven, 50 personen ongeveer 97% en 70 personen ongeveer 99,9%. Het benodigde-personen-eindpunt inverteert dit: de kleinste groepsgrootte om een doelkans te bereiken (23 voor 50%, 57 voor 99%), met de √(2·d·ln(1/(1-p))) benadering. Het botsings-eindpunt generaliseert de verjaardagsgrens naar elke ruimte — geef een aantal buckets of een hash-grootte in bits — en retourneert de botsingskans P ≈ 1 − e^(−n²/2d), de regel achter hash-botsingen en UUID-uniekheidsschattingen, waarbij een kans van 50% ongeveer 1,177·√d items nodig heeft. Dagen en buckets standaard 365. Alles wordt lokaal en deterministisch berekend, dus het is onmiddellijk en privé. Ideaal voor kansrekening-onderwijs, beveiliging, cryptografie, hashing, data-engineering en statistiek app-ontwikkelaars, botsingsrisico- en verjaardagsprobleem-tools, en lesmateriaal. Pure lokale berekening — geen sleutel, geen externe dienst, onmiddellijk. Live, niets opgeslagen. 3 eindpunten. Dit is de verjaardag-/botsingskans; voor volledige verdelingen gebruik een kans-API.

api.oanor.com/birthdayparadox-api

Bouw correcte CORS-responseheaders en evalueer preflight-verzoeken — zonder elke keer de specificatie opnieuw te lezen. De headers-endpoint zet een eenvoudig beleid (toegestane origins, methoden, request-headers, of credentials zijn toegestaan, een preflight max-age en eventuele blootgestelde response-headers) om in de exacte set Access-Control-*-headers om terug te sturen, en het behandelt de onderdelen die mensen verkeerd doen: je kunt een wildcard-origin niet combineren met credentials, dus het reflecteert de specifieke request-origin en voegt Vary: Origin toe; het laat de allow-origin-header weg wanneer een origin niet op je lijst staat; en het waarschuwt wanneer een configuratie niet zou werken zoals verwacht. De check-endpoint neemt een inkomend verzoek — zijn Origin, de (gevraagde) methode en de Access-Control-Request-Headers — en vertelt je of het CORS zou passeren, de precieze reden als het faalt, en de responseheaders die je terug moet sturen. Alles wordt lokaal en deterministisch berekend, dus het is direct en privé. Ideaal voor API-gateways en backends, edge- en serverless-functies, het debuggen van browser-CORS-fouten, en het exact goed krijgen van een beveiligingsbeleid. Pure lokale berekening — geen sleutel, geen externe dienst, direct. Live, niets opgeslagen. 3 endpoints. Dit bouwt en controleert de headers; het doet geen cross-origin-verzoek — om de beveiligingsheaders van een live site te inspecteren, gebruik een security-headers-API.

api.oanor.com/cors-api

Detecteer en redigeer persoonlijk identificeerbare informatie (PII) in vrije tekst. Het vindt e-mailadressen, telefoonnummers, creditcardnummers (Luhn-gevalideerd om valse positieven te verminderen), IPv4- en IPv6-adressen, Amerikaanse socialezekerheidsnummers en IBAN's, en maskeert elk ervan — met een per type label zoals [EMAIL], een vaste vervangingsstring, of een enkel teken herhaald tot de oorspronkelijke lengte. Een detect-eindpunt retourneert elke overeenkomst met het type en de positie zonder de tekst te wijzigen. Perfect voor het opschonen van logs en ondersteuningstranscripties, het anonimiseren van gegevens voordat ze worden gedeeld of naar een derde partij worden gestuurd, en privacy- en nalevingscontroles. Pure lokale berekening — tekst verlaat nooit de server, geen sleutel, geen derde partij, onmiddellijk; tot 200.000 tekens via POST. Live, niets opgeslagen. 3 eindpunten. Op regex gebaseerd en best-effort — controleer voordat u erop vertrouwt voor wettelijke naleving. Te onderscheiden van sentiment-, grof taalgebruik- en algemene teksttools.

api.oanor.com/redact-api

Escape een string zodat deze veilig in een specifieke context kan worden geplaatst. Kies een doel — een reguliere expressie (zodat de tekst letterlijk overeenkomt), een shell-commando (POSIX enkele aanhalingstekens), een JSON-string, een CSV-veld (RFC 4180 aanhalingstekens) of een SQL-stringliteral — en ontvang de correct geëscapete waarde, plus een korte opmerking over de toegepaste regel. De contexten-endpoint geeft elk doel met een uitgewerkt voorbeeld. Perfect voor codegeneratie, het bouwen van commando's en queries, templating en data-export, en het veilig interpoleren van gebruikersinvoer. Pure lokale berekening — geen sleutel, geen externe service, direct. Live, niets opgeslagen. 3 endpoints. De SQL-context is een aangehaalde literal voor het gemak, geen vervanging voor geparametriseerde queries. Te onderscheiden van base64/hex/URL/HTML-entiteit-encoders.

api.oanor.com/escape-api

Genereer cryptografische sleutelparen op aanvraag — RSA (2048/3072/4096), elliptische curve (P-256, P-384, P-521, secp256k1), Ed25519 en Ed448 — geretourneerd als PEM (SPKI publieke sleutel, PKCS#8 privésleutel) en, optioneel, als JWK. Perfect voor het opzetten van JWT/JWS-ondertekeningssleutels, TLS- en SSH-experimenten, testfixtures en demo's. Pure lokale generatie met Node's crypto (geen externe service). Let op: voor ontwikkeling, testen en educatie — genereer sleutels voor productiesystemen offline of in een HSM, vertrouw nooit een externe API met echte privésleutels. Live, niets opgeslagen. 3 endpoints. Te onderscheiden van JWT-ondertekening, wachtwoordgeneratie en hashing.

api.oanor.com/keypair-api

Maak onbetrouwbare HTML veilig om weer te geven. Stuur elke HTML — een reactie, een rich-text inzending, een fragment uit een e-mail of een geschraapte pagina — en ontvang een schone, XSS-vrije versie terug: <script>-tags, inline event handlers (onclick, onerror), javascript:-URL's, <iframe>, <style> en alles wat niet op de toegestane lijst staat, worden verwijderd. Overschrijf de toegestane tags en attributen naar wens, of verwijder links volledig. Een strip-eindpunt retourneert platte tekst met alle opmaak verwijderd. Pure lokale opschoning — geen sleutel, geen externe dienst, direct. Live. 3 eindpunten. Gebouwd voor door gebruikers gegenereerde inhoud, reactiesystemen, rich-text editors, e-mailweergave en elke plek waar onbetrouwbare HTML een browser bereikt. Te onderscheiden van een Markdown-renderer of een HTML-data-extractor.

api.oanor.com/htmlsanitize-api

Detecteer het echte type van een bestand op basis van de inhoud — de magische bytes / binaire handtekening — niet op basis van de naam. Stuur een bestand via URL of base64 en ontvang de echte extensie en MIME-type, met herkenning van 100+ binaire formaten: afbeeldingen (PNG, JPEG, GIF, WebP, AVIF, HEIC), audio en video (MP3, MP4, WAV, FLAC, MKV), archieven (ZIP, GZIP, 7z, RAR, TAR), documenten (PDF, DOCX, XLSX), lettertypen en meer. Optioneel een bestandsnaam doorgeven om een vervalste extensie te markeren (bijv. een PNG hernoemd naar .txt). Tekstformaten zoals TXT, CSV, JSON en SVG hebben geen handtekening en retourneren detected=false. Detectie is lokaal — geen sleutel, geen externe dienst. Live, niets opgeslagen. 2 endpoints. Gebouwd voor veilige uploadvalidatie, anti-spoofing controles, contentpijplijnen en forensisch onderzoek. Anders dan een extensie-naar-MIME opzoeking.

api.oanor.com/filetype-api

Inspecteer de SMTP-transportbeveiligingsstatus van een domein — of mailservers verplicht zijn om inkomende e-mail te leveren via geverifieerde TLS, ter bescherming tegen downgrade- en man-in-the-middle-aanvallen. Geef een domein op en de service haalt het MTA-STS-beleidsbestand op van mta-sts.<domein>/.well-known/mta-sts.txt (de versie, modus, toegestane MX-hosts en max_age), het _mta-sts DNS TXT-record (het beleids-ID) en het _smtp._tls TLS-RPT-record (het rua-rapportageadres), en rapporteert vervolgens of MTA-STS daadwerkelijk wordt afgedwongen en een geprioriteerde lijst van problemen — geen beleidsbestand, geen DNS-record, een modus van alleen "testing", of een ontbrekend TLS-RPT-record. Een tweede eindpunt retourneert alleen het geparseerde beleidsbestand. Het verzoek wordt server-side uitgevoerd en privé/interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor e-mailbezorgbaarheid en anti-downgrade-aanvalaudits, leveranciers- en externe beoordelingen, en naleving. Een MTA-STS / TLS-RPT-controle — de SMTP-transportbeveiligingstegenhanger van de e-mailauthenticatieanalysator (emailsec, die SPF, DKIM en DMARC dekt), en onderscheiden van ruwe DNS-zoekopdracht (dns). Geen upstream-sleutel, geen cache.

api.oanor.com/mtasts-api

Inspecteer elke OpenID Connect / OAuth 2.0-provider. Geef een issuer (een domein, een issuer-URL of de volledige discovery-URL) en de service haalt het discovery-document van de provider op via /.well-known/openid-configuration, parseert elk endpoint — authorization, token, userinfo, jwks, registration, end-session, introspection, revocation en device-authorization — samen met de ondersteunde scopes, response types, grant types, ID-token signing algorithms, PKCE-methoden en claims, haalt vervolgens de JWKS op en vat de signing keys samen (aantal, algoritmen, key types en key IDs), en rapporteert een validiteitscontrole met eventuele problemen. Een tweede endpoint haalt elke JSON Web Key Set op en vat deze samen. Het verzoek wordt server-side uitgevoerd en privé/interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor SSO- en OAuth/OIDC-integratie, foutopsporing van identity-providerconfiguratie (Auth0, Okta, Keycloak, Azure AD, Google), beveiligingsbeoordeling en monitoring van signing-key-rotatie. Een OIDC-discovery / JWKS-inspecteur — te onderscheiden van de JWT-toolkit (jwt), de security.txt-parser (securitytxt) en de HTTP-security-header-grader (secheaders). Geen upstream-sleutel, geen cache.

api.oanor.com/oidc-api

Genereer Subresource Integrity (SRI)-hashes voor elk webasset, zodat browsers kunnen verifiëren dat een via CDN gehost script of stylesheet niet is gemanipuleerd. Geef een URL door en de service haalt het asset op en retourneert de sha256-, sha384- en sha512-SRI-hashes, de gekozen integriteitswaarde (standaard sha384, of geef uw voorkeursalgoritme door), de grootte en het inhoudstype van het asset, en een kant-en-klare <script>- of <link>-tag met de integriteits- en crossorigin-attributen. Een verifieer-eindpunt haalt het asset opnieuw op en vertelt u of het nog steeds overeenkomt met een bekende integriteitsstring — waarbij stille CDN-wijzigingen of supply-chain-manipulatie worden opgemerkt voordat uw gebruikers ermee in aanraking komen. Het verzoek wordt server-side gedaan; privé- en interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor het beveiligen van scripts van derden, supply-chain-hardening, build-pipelines en CSP/SRI-naleving. Een Subresource Integrity-generator en -verificateur — te onderscheiden van ruwe cryptografische hashing van invoergegevens (hash), de HTTP-beveiligingsheader-grader (secheaders) en de SSL/TLS-certificaatcontrole (sslcheck). Geen upstream-sleutel, geen cache.

api.oanor.com/sri-api

Prioritiseer CVEs op basis van risico op daadwerkelijke exploitatie — niet alleen ernst. Combineert de FIRST.org EPSS-score (de kans, 0 tot 1, dat een CVE in de komende 30 dagen wordt geëxploiteerd, met het percentiel) en de CISA KEV-catalogus (kwetsbaarheden waarvan is bevestigd dat ze actief in het wild worden geëxploiteerd — met de leverancier, het product, de datum van toevoeging, de uiterste hersteldatum en of het lek wordt gebruikt in ransomwarecampagnes), en leidt een enkel prioriteitsniveau af voor elke CVE. Zoek maximaal 25 CVEs in één aanroep, blader door de volledige CISA Known Exploited Vulnerabilities-catalogus gefilterd op leverancier, product of ransomwaregebruik, of toon de CVEs met de hoogste huidige EPSS-scores. Gebouwd voor kwetsbaarheidsbeheer, patchprioritering, risicoscore en beveiligingsdashboards — die niet beantwoordt "hoe erg zou dit kunnen zijn?" maar "hoe waarschijnlijk is het dat het daadwerkelijk wordt geëxploiteerd?". Een kwetsbaarheidsprioriteringslaag — anders dan ruwe CVE-details en CVSS-ernst (cve), wachtwoordlekcontroles (pwned) en de HTTP-beveiligingsheader-grader (secheaders). Gegevens live van FIRST.org en CISA. Geen upstream-sleutel, geen cache.

api.oanor.com/vulnintel-api

Inspecteer de e-mailauthenticatiepositie van elk domein — de bescherming tegen spoofing en phishing — via live DNS. Geef een domein door en de service zoekt en valideert SPF (het v=spf1-record, de all-qualifier en de 10-lookup-limiet), DMARC (het _dmarc-beleid p=none/quarantine/reject, plus sp, pct en rua/ruf-rapportageadressen), DKIM (test de gangbare selectors op selector._domainkey, of geef uw eigen door), BIMI en de MX-servers — en retourneert vervolgens een A+-tot-F-cijfer met een geprioriteerde lijst van problemen en concreet advies. Een tweede eindpunt parseert het DMARC-record tag voor tag met een begrijpelijke uitleg van het beleid. Gebouwd voor e-mailbezorgbaarheids- en anti-spoofing-audits, leveranciers- en derdenrisicobeoordeling, beveiligingsonboarding en continue monitoring. Een e-mailauthenticatie-analysator — te onderscheiden van mailbox/adresvalidatie (email), ruwe DNS-recordopvraging (dns) en de HTTP-beveiligingsheader-grader (secheaders). Puur live DNS, geen upstream-sleutel, geen cache.

api.oanor.com/emailsec-api

Haal het RFC 9116 security.txt-bestand van elk domein op en parse het — het machineleesbare bestand op /.well-known/security.txt dat beveiligingsonderzoekers vertelt hoe ze kwetsbaarheden kunnen melden. Geef een domein door en de service lokaliseert het bestand (het canonieke .well-known-pad met een legacy root fallback), parseert elk veld — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring en CSAF — en rapporteert of het geldig is (minstens één Contact en een enkele, niet-verlopen Expires), of het PGP-ondertekend is, of het is verlopen (met het aantal resterende dagen) en een lijst met problemen met concreet advies. Een bijbehorend eindpunt retourneert het ruwe bestand. Het verzoek wordt server-side gedaan; privé- en interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor beveiligingsaudits, leveranciers- en externe risicobeoordeling, aanvalsoppervlaktebeoordelingen en controles op naleving van het beleid voor het melden van kwetsbaarheden. Een security.txt-parser en -validator — verschillend van de HTTP-beveiligingsheader-grader (secheaders), de SSL/TLS-certificaatcontrole (sslcheck) en hostbereikbaarheid (hostcheck). Geen upstream-sleutel, geen cache.

api.oanor.com/securitytxt-api

Haal elke URL op en analyseer de HTTP-responsebeveiligingsheaders — beoordeel de site van A+ tot F zoals securityheaders.com en Mozilla Observatory doen. Geef een URL door en de service doet het verzoek server-side (volgt redirects), rapporteert vervolgens welke beschermende headers aanwezig zijn, welke ontbreken (met concreet hersteladvies) en welke responseheaders informatie lekken. Beoordeelde headers zijn onder andere Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy en Cross-Origin-Opener-Policy; informatie-lekkende headers zijn onder andere Server en X-Powered-By. Een bijbehorend eindpunt retourneert elke ruwe responseheader. Private en interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor beveiligingsaudits, CI/CD-beveiligingspoorten, aanvalsoppervlaktebeoordelingen en nalevingscontroles. Een beveiligingsheader-beoordelaar — anders dan de SSL/TLS-certificaatcontrole (sslcheck), hostbereikbaarheid (hostcheck), de IANA HTTP-statuscodereferentie (http) en de on-page SEO-audit (seo). Geen upstream-sleutel, geen cache.

api.oanor.com/secheaders-api

Zoek de live Tor-netwerk op als een API — aangedreven door de officiële Onionoo-service van het Tor Project en de canonieke bulk-exit-node-lijst. Controleer of een IPv4- of IPv6-adres een Tor-relay is (is_tor_relay) en of het een exit-node is waarlangs clients het netwerk verlaten (is_exit_node, geverifieerd tegen de bulk-exit-lijst), en retourneer de volledige overeenkomende relay-record(s): bijnaam, vingerafdruk, vlaggen, land, autonoom systeem, geadverteerde bandbreedte, exit-beleidssamenvatting en eerste/laatste-keer-gezien-datums. Of doorzoek de openbare relay-lijst op bijnaam, vingerafdruk, IP, land of vlag (Exit, Guard, Fast, Stable…) met paginering. Gebouwd voor fraude- en misbruiktriage, inlogrisicoscoring, reactie- en registratiefiltering en netwerkonderzoek — in één oogopslag weten of een verbinding afkomstig is van het Tor-netwerk. Bereikgegevens worden live opgehaald van het Tor Project, dus ze zijn altijd actueel. Een Tor-netwerkopzoeking — te onderscheiden van cloud/CDN-toewijzing (cloudips), IP-geolocatie (ipgeo), ASN/BGP-eigendom (asn, ripestat) en open-poortblootstelling (internetdb). Geen upstream-sleutel, geen cache.

api.oanor.com/tor-api

Ken elk IP-adres toe aan de cloudprovider, CDN, regio en service die het bezit — op basis van de officiële, openbaar gepubliceerde IP-bereiklijsten van AWS, Google Cloud, Cloudflare, Oracle Cloud (OCI), Fastly en GitHub. Geef een IPv4- of IPv6-adres door en ontvang elke overeenkomende prefix met de bijbehorende provider, regio/scope en service, plus een is_cloud-vlag die in één oogopslag laat zien of het adres tot een bekende cloud of CDN behoort — of vermeld de gepubliceerde bereiken van één provider, gefilterd op regio, service en IP-versie. Gebouwd voor firewall-whitelists, misbruik- en fraudetriage, bot- en uitgaande verkeersclassificatie, SSRF-verdediging en om te weten of inkomend of uitgaand verkeer afkomstig is van een cloud of CDN. Bereikgegevens worden live opgehaald uit de canonieke openbare lijst van elke provider, dus ze zijn altijd actueel. Een cloud/CDN IP-toewijzingsservice — te onderscheiden van IP-geolocatie (ipgeo), ASN/BGP-eigendom (asn, ripestat), open-poortblootstelling (internetdb) en de IANA-poort-/protocolregisters (netports, ipprotocols). Geen upstream-sleutel, geen cache.

api.oanor.com/cloudips-api

Zie wat elke host blootstelt aan het internet — als een API over Shodan's gratis InternetDB. Geef het een IPv4/IPv6-adres (of een hostnaam, die wordt omgezet naar het IP) en ontvang het aanvalsoppervlak van die host: de open poorten (geannoteerd met algemene servicenamen), de producten en technologieën die erop zijn gedetecteerd (CPE's), de reverse hostnamen, Shodan's classificatietags, en de bekende kwetsbaarheden (CVE-identificaties) waargenomen op zijn services. Een speciale kwetsbaarhedenweergave retourneert alleen de CVE's en of de host kwetsbaar lijkt. Het is snel, vereist geen sleutel, en is gebouwd voor beveiliging, asset-discovery, externe aanvalsoppervlakmonitoring en reconnaissance-workflows. Een netwerkblootstellings-/aanvalsoppervlakbron — onderscheiden van IP-geolocatie (waar een adres is), de IANA-poortregistratie (wat een poortnummer betekent) en CVE-databases (wat een kwetsbaarheid is). Gegevens van Shodan InternetDB (gratis / niet-commercieel gebruik).

api.oanor.com/internetdb-api

Controleer of een wachtwoord is verschenen in bekende datalekken — als een API over Have I Been Pwned's Pwned Passwords corpus (800+ miljoen unieke gecompromitteerde wachtwoorden). Het gebruikt k-anonimiteit: alleen de eerste 5 tekens van de SHA-1 hash van een wachtwoord worden ooit upstream verzonden, dus het wachtwoord zelf verlaat nooit volledig. Geef een wachtwoord (gehasht in het geheugen, nooit opgeslagen of gelogd — stuur het via POST zodat het nooit in een URL/log verschijnt) of een SHA-1 hash om te weten te komen of het is gelekt en hoe vaak; of haal een ruwe k-anonimiteitsbereik op voor een 5-teken hashprefix en doe de matching volledig aan uw kant voor nul wachtwoordblootstelling. Het screenen van aanmeldingen en wachtwoordresets tegen gelekte wachtwoordenlijsten wordt aanbevolen door NIST 800-63b, en dit maakt het een eenmalige controle. Een bron voor inbreuken / inloggegevensbeveiliging — anders dan wachtwoordgeneratoren, cryptografische hashing en bcrypt. Open data van Have I Been Pwned (Troy Hunt), CC BY 4.0.

api.oanor.com/pwned-api

Software supply-chain en dependency intelligence als API, aangedreven door deps.dev — Google's Open Source Insights-service. Over zes pakket-ecosystemen (npm, PyPI, Maven, Cargo, Go en NuGet) beantwoordt het de vragen die een register niet kan: wat installeert dit pakket eigenlijk, en hoe gezond is het project erachter? Toon de gepubliceerde versies van een pakket en de standaardversie; lees de gedeclareerde licenties van een specifieke versie, de sleutels van bekende beveiligingsadviezen, nuttige links (bronrepository, homepage, issue tracker) en gerelateerde projecten; los de volledige TRANSITIEVE afhankelijkheidsgrafiek van een versie op — het totale aantal afhankelijkheden, de directe afhankelijkheden en elke transitieve node met de exacte opgeloste versie en of het een directe of indirecte afhankelijkheid is; en zoek de OpenSSF Scorecard van een bronproject op — de algemene beveiligingsscore plus per-check resultaten voor Maintained, Code-Review, Branch-Protection, Dangerous-Workflow, Vulnerabilities en meer — naast de sterren, forks, openstaande issues, licentie en homepage. Voor Go-modules en Maven-artefacten is de pakketnaam het volledige modulepad of group:artifact (automatisch URL-gecodeerd). Ideaal voor afhankelijkheidsaudits, SBOM-verrijking, supply-chain risicobeoordeling en licentienalevingstools. Gegevens van deps.dev (Google, CC-BY).

api.oanor.com/depsdev-api

De Open Source Vulnerabilities-database (OSV / osv.dev) als een API — de supply-chain beveiligingscontrole voor open-source afhankelijkheden. Scan elke pakketversie (PyPI, npm, Go, crates.io, Maven, NuGet, RubyGems, Packagist, Hex en meer) en ontdek direct of deze wordt beïnvloed door bekende kwetsbaarheden, met de ernst van elk advies, CVSS-score, CVE-alias, CWE-zwakte en referenties; vermeld elk advies dat ooit voor een pakket is gepubliceerd; en zoek een enkel advies op (GHSA, PYSEC, GO, RUSTSEC, CVE…) in volledig detail, inclusief de getroffen pakketten en versiebereiken. Live vanuit de officiële OSV.dev-database van Google, die GitHub Security Advisories, PyPA, RustSec, Go en vele andere bronnen verzamelt. Ideaal voor afhankelijkheidsscanning, SBOM en supply-chain tooling, CI-beveiligingspoorten en devsecops-dashboards. Open data.

api.oanor.com/osv-api

Controleer het SSL/TLS-certificaat van elke website als een API. Geef een domein door en de service voert een live TLS-handshake uit en retourneert het onderwerp en de uitgever van het certificaat, de geldigheidsperiode, het exacte aantal dagen tot het verloopt, of het momenteel geldig en vertrouwd is door een standaard CA-keten, het onderhandelde TLS-protocol, serienummer, SHA-256-vingerafdruk, sleutelgrootte en de volledige lijst van Subject Alternative Names (SAN's). Een beknopt verval-eindpunt retourneert een eenvoudige ok / expiring_soon / expired status, perfect voor uptime- en certificaatvervalmonitoring, dashboards, CI-controles en beveiligingstools. Zelfstandig — geen externe service. IP-adressen en interne hosts worden niet ondersteund.

api.oanor.com/sslcheck-api

Zoek softwarekwetsbaarheden op via hun CVE-identificatie en krijg schone, gestructureerde details — titel, beschrijving, CVSS-score, ernst en vector, CWE-zwakte types, getroffen leveranciers en producten met versiebereiken, en referentielinks — plus doorzoek elke CVE die een bepaalde leverancier of product treft, en stream de meest recent gepubliceerde CVE's. Afkomstig van de CIRCL CVE Search-service via de officiële CVE Record 5.1-gegevens en teruggegeven als nette JSON via een snelle, betrouwbare API. Ideaal voor kwetsbaarheidsbeheer en SOC-tooling, DevSecOps- en SCA-pijplijnen, beveiligingsdashboards, compliance- en activarisicomonitoring.

api.oanor.com/cve-api

Hash- en verifieer wachtwoorden met bcrypt, server-side. Genereer een gezouten bcrypt-hash met een kostfactor naar keuze (4–14), controleer een leesbaar wachtwoord tegen een bestaande hash, of inspecteer een hash om de bcrypt-versie, kostfactor en salt te lezen. Volledig compatibel met bcrypt-hashes van PHP ($2y$), Node, Python en andere, zodat u bestaande inloggegevens kunt verifiëren en migreren. Pure server-side berekening zonder externe upstream, dus altijd beschikbaar — en het verlicht uw eigen servers van de bewust CPU-intensieve hashing. Ideaal voor het toevoegen van wachtwoordauthenticatie, migratie van inloggegevens, auth-tooling, testen en no-code backends.

api.oanor.com/bcrypt-api

Voeg tweefactorauthenticatie toe en test deze zonder te worstelen met een cryptobibliotheek. Genereer een nieuw base32-geheim met een direct te scannen otpauth-URI, bereken de huidige tijdgebaseerde eenmalige code (RFC 6238), verifieer een door een gebruiker ingediende code met een aanpasbaar driftvenster, of bouw een otpauth://-URI voor elk geheim. Ondersteunt SHA-1, SHA-256 en SHA-512, 6 tot 8 cijfers en een aangepaste periode, en is volledig compatibel met Google Authenticator, Authy, 1Password en andere authenticator-apps. Pure server-side berekening zonder externe partijen, dus reacties zijn direct en de service is altijd beschikbaar. Ideaal voor het toevoegen van 2FA aan apps, authenticatietools, QA en testen, en no-code automatisering.

api.oanor.com/totp-api

Een snelle, volledig lokale JSON Web Token-toolkit: onderteken een JSON-payload in een JWT, verifieer een tokenhandtekening samen met de exp- en nbf-claims met behulp van een constante-tijdvergelijking, en decodeer een tokenheader en -payload zonder verificatie. Ondersteunt de HMAC-algoritmen HS256, HS384 en HS512, voegt automatisch de iat-claim en een exp-claim van expires_in toe. Gebouwd op Node crypto en geheimen worden nooit gelogd, dus reacties zijn direct, privé en altijd beschikbaar. Elk eindpunt accepteert invoer via de queryreeks of de aanvraagbody. Ideaal voor authenticatie, API-gateways, sessie- en token-tooling, microservices en webhooks.

api.oanor.com/jwt-api

Een snelle, volledig lokale MIME- en bestandstype-toolkit: zoek het MIME-type, de tekenset en categorie op voor een bestandsnaam of extensie, vermeld elke bestandsextensie die is geregistreerd voor een MIME-type, en detecteer het echte type van een bestand aan de hand van de leidende magische bytes (meer dan 40 handtekeningen, inclusief RIFF-container-desambiguatie voor WEBP, WAV en AVI), waarbij hex- of base64-invoer wordt geaccepteerd. Elk eindpunt accepteert invoer via de queryreeks of de aanvraagbody. Pure server-side berekening, geen externe upstream, dus reacties zijn onmiddellijk en altijd beschikbaar. Ideaal voor uploadvalidatie, beveiliging (verifieer het echte type van een bestand tegen de opgegeven extensie), CDN's en contentpijplijnen.

api.oanor.com/mime-api

Een snelle, volledig lokale wachtwoordtoolkit: genereer cryptografisch veilige willekeurige wachtwoorden (configureerbare lengte, tekensets en uitsluiting van gelijkende tekens), schat wachtwoordsterkte (entropiebits, een score van 0-4, uitsplitsing van tekensets, detectie van veelvoorkomende wachtwoorden, een offline kraaktijdsschatting en bruikbare feedback), en maak gedenkwaardige diceware-stijl wachtzinnen. Gebouwd op Node crypto, geen externe afhankelijkheden, en invoer wordt nooit gelogd — dus reacties zijn direct, privé en altijd beschikbaar. Ideaal voor aanmeld- en accountstromen, beheertools, wachtwoordmanagers en beveiligingsfuncties.

api.oanor.com/password-api

Blader en doorzoek de officiële FBI Wanted-lijst — voortvluchtigen, vermiste personen, terroristen en zoek-informatiezaken — met aanklachten, waarschuwingen, beloningen, fysieke beschrijvingen, veldkantoren en foto's. Nuttig voor nieuws, openbare veiligheid, beveiligingsonderzoek en OSINT-apps.

api.oanor.com/fbi-api

Los DNS-records op — A, AAAA, MX, NS, TXT, CNAME, SOA, SRV, CAA, PTR — voor elk domein, haal alle gangbare records op in één aanroep, of voer een reverse PTR-lookup uit voor een IPv4-adres. Ondersteund door Google DNS-over-HTTPS. Ideaal voor devops-tooling, uptime- en e-mailbezorgbaarheidscontroles (SPF/DKIM/DMARC), beveiligingsonderzoek en domeinmonitoring.

api.oanor.com/dns-api