Criamos uma skill gratuita de scanner de segurança para o OpenClaw
A maioria dos proprietários de sites não tem ideia de qual código é executado nos navegadores dos seus usuários. Scripts de terceiros de plataformas de analytics, redes de anúncios, widgets de chat e processadores de pagamento são executados com acesso total ao DOM, mas as equipes de segurança raramente mantêm um inventário do que realmente é carregado.
Criamos o cside Site Scanner para oferecer uma ferramenta gratuita que ajuda você a entender o problema. É uma ferramenta gratuita e de código aberto que audita scripts de terceiros, cabeçalhos de segurança e exposição ao PCI DSS de qualquer site em cerca de 30 segundos. Disponível no ClawHub, funciona com qualquer agente de IA e oferece às equipes de segurança um ponto de partida claro: o que está no meu site agora?
Os resultados costumam surpreender as pessoas.
O problema: seu site executa código que você não escreveu
Um site de e-commerce típico carrega de 30 a 50 scripts de terceiros: analytics, anúncios, widgets de chat, tag managers, processadores de pagamento e ferramentas de gravação de sessão. Cada um tem acesso total ao seu DOM. Eles podem ler entradas de formulários, definir cookies, fazer fingerprinting de dispositivos e exfiltrar dados.
A maioria das equipes de segurança não tem um inventário do que é executado nas suas páginas. Elas revisam cuidadosamente o próprio código, mas os scripts de terceiros contornam esse processo completamente. Uma equipe de marketing adiciona um novo pixel de analytics pelo Google Tag Manager e, de repente, um novo código é executado no navegador de cada usuário — código que nunca passou pelo controle de versão nem pelo CI/CD.
Esse não é um risco teórico. Ataques Magecart comprometeram dados de pagamento em grandes sites de varejo ao injetar código malicioso por meio de scripts de terceiros comprometidos. A British Airways enfrentou uma multa elevada depois que atacantes modificaram um script de terceiro para capturar dados de cartão de pagamento de centenas de milhares de clientes.
O que o scanner faz
Aponte-o para qualquer URL e ele realiza uma auditoria em seis categorias.
Inventário de scripts de terceiros
O scanner identifica todos os scripts externos carregados na página, agrupando-os por domínio e categorizando-os por tipo: analytics, publicidade, gravação de sessão, processamento de pagamentos, CDN e mais. Você obtém uma visão completa de quem tem código sendo executado nos navegadores dos seus usuários.
Detecção de fingerprinting
Scripts de terceiros fazem fingerprinting de usuários com mais frequência do que os proprietários de sites percebem. O scanner verifica:
- Fingerprinting via canvas
- Consultas WebGL
- Análise de AudioContext
- Enumeração de fontes
- Coleta de propriedades do navigator
- Bibliotecas de fingerprinting conhecidas, como FingerprintJS
Sob o GDPR e o CCPA, o fingerprinting pode ser considerado coleta de dados pessoais. Se um script de terceiro faz isso nas suas páginas, você é responsável — mesmo que não soubesse que estava acontecendo.
Análise de cabeçalhos de segurança
O scanner avalia os cabeçalhos de segurança que protegem contra ataques comuns:
| Cabeçalho | Finalidade |
|---|---|
| Content-Security-Policy (CSP) | Controla quais scripts podem ser executados |
| HTTP Strict Transport Security (HSTS) | Impõe conexões HTTPS |
| X-Frame-Options | Previne ataques de clickjacking |
| Permissions-Policy | Restringe o acesso a recursos do navegador |
| Subresource Integrity (SRI) | Verifica a integridade de scripts de terceiros |
Auditoria de cookies
Cada cookie é analisado quanto aos atributos de segurança: origem própria versus de terceiros, flag Secure, flag HttpOnly e configuração SameSite. Cookies mal configurados podem criar vulnerabilidades de sequestro de sessão e falsificação de requisição entre sites.
Sinalização de risco ao PCI DSS 4.0.1
O Requisito 6.4.3 do PCI DSS 4.0 exige que as organizações inventariem e justifiquem todos os scripts em páginas de pagamento. O scanner detecta formulários de pagamento e identifica quais scripts de terceiros têm acesso ao DOM desses elementos, auxiliando na conformidade.
Rastreamento da cadeia de tag managers
O scanner realiza uma comparação antes e depois: ele faz o inventário dos scripts no carregamento da página e verifica novamente após a execução dos tag managers. A diferença revela sua superfície de ataque não auditada — scripts que entraram pelo GTM ou outros tag managers sem revisão de código.
Nota de segurança
Todos os achados são consolidados em uma única nota de A a F, ponderada em oito fatores. Isso fornece um único número para comunicar riscos às partes interessadas e acompanhar melhorias ao longo do tempo.
Por que a detecção de tag manager é importante
O Google Tag Manager está presente em aproximadamente 30% dos principais um milhão de sites. Ele dá às equipes de marketing a capacidade de adicionar scripts sem aguardar um deploy de engenharia. Essa mesma flexibilidade cria o maior ponto cego em muitos programas de segurança.
Scripts carregados pelo GTM pulam a revisão de código. Eles não aparecem na sua base de código. Não passam pelo seu pipeline de CI/CD. São executados nos navegadores dos seus usuários com acesso total ao DOM, e ninguém na equipe de engenharia os aprovou.
Um container GTM comprometido ou um pixel de marketing malicioso pode injetar código malicioso em todo o seu site. O scanner torna essa superfície de ataque oculta visível.
Por que a detecção de fingerprinting é importante
O fingerprinting de dispositivos cria um identificador único para os usuários com base nas características do navegador, propriedades de hardware e fontes instaladas. Ao contrário dos cookies, os usuários não conseguem remover facilmente os fingerprints, e muitos nem sabem que estão sendo rastreados dessa forma.
As implicações para a privacidade são sérias. Os reguladores tratam cada vez mais o fingerprinting como coleta de dados pessoais que requer consentimento explícito. Se um script de analytics ou publicidade faz fingerprinting de visitantes no seu site sem a devida divulgação, você herda esse risco de conformidade.
O scanner identifica quais scripts usam técnicas de fingerprinting e quais métodos empregam, permitindo que você decida quais terceiros devem estar nas suas páginas.
Limitações do scanner
O scanner tem limitações reais que precisam ser compreendidas. Ele carrega uma página uma vez, em um navegador, a partir de um único local — um snapshot, não um monitoramento contínuo.
Ele não captura:
- Scripts que variam por usuário; ferramentas de ad tech e testes A/B servem código diferente para usuários, dispositivos e regiões geográficas distintos
- Ataques intermitentes; skimmers Magecart que só são acionados no checkout para faixas de IP ou user agents específicos
- Injeção pós-carregamento; scripts que carregam código adicional dinamicamente com base na interação do usuário
- Mudanças no tag manager; containers GTM podem ser atualizados a qualquer momento sem um deploy
Nenhum scanner consegue observar o que é executado nos navegadores dos seus usuários reais ao longo do tempo. A lacuna entre uma auditoria pontual e o monitoramento contínuo é onde os ataques se escondem.
Onde a cside entra
A cside fecha essa lacuna por meio de monitoramento contínuo de segurança no lado do cliente. Em vez de fazer uma varredura única, a cside faz proxy dos scripts antes que cheguem ao navegador, inspecionando o código em tempo de execução em todos os usuários e sessões.
Isso captura o que os snapshots perdem: scripts que se comportam de forma diferente para determinados usuários, código que muda após a revisão e comprometimentos na cadeia de suprimentos que afetam condições específicas. Ataques reais não esperam pela sua próxima auditoria programada.
Experimente
O scanner é gratuito e de código aberto no ClawHub:
npx clawhub@latest install cside-site-scannerEm seguida, peça ao seu agente de IA para escanear qualquer site.
Se os resultados levantarem preocupações, estamos aqui para ajudar!
