Scanner de sécurité web pour auditer ses propres sites, vérification de propriété par DNS obligatoire avant tout scan. Pensé QA/sécu : la note ne ment jamais, plafonnée par la pire sévérité (CRITICAL → E) et par l’incomplétude de couverture.
Audit en trois phases
- Passif, en-têtes HTTP avec jugement de valeur (CSP permissive, HSTS
max-age=0), robustesse TLS, qualité DNS (SPF / DMARC / DKIM / DNSSEC). - Actif-léger, fichiers sensibles exposés, reflet CORS, mixed content, subdomain takeover.
- Pentest, nuclei filtré par tag + OWASP ZAP baseline.
Fonctionnalités
- Dashboard temps réel, findings streamés en SSE (heartbeat qui survit aux timeouts proxy).
- Auth par magic-link, sans mot de passe.
- Remédiation FR/EN, snippets par stack (Nginx / NPM / Cloudflare) + prompts prêts pour l’IA.
- Intégration MCP, serveur local stdio en lecture seule (Claude Code) et distant OAuth via Pocket ID (claude.ai), avec action
run_scan. - Garde-fou anti-SSRF, blocage des IP privées et de
169.254.169.254.
Déployé sur Raspberry Pi via Docker (nuclei pré-chargé, CI/CD + scan nocturne) derrière Nginx Proxy Manager + Cloudflare. Dépôt public.
Web security scanner to audit your own sites, with mandatory DNS ownership verification before any scan. Built with a QA/security mindset: the score never lies, capped by the worst severity (CRITICAL → E) and by incomplete coverage.
Three-phase audit
- Passive, HTTP headers with value judgment (permissive CSP, HSTS
max-age=0), TLS robustness, DNS quality (SPF / DMARC / DKIM / DNSSEC). - Active-light, exposed sensitive files, CORS reflection, mixed content, subdomain takeover.
- Pentest, nuclei filtered by tag + OWASP ZAP baseline.
Features
- Real-time dashboard, findings streamed over SSE (heartbeat that survives proxy timeouts).
- Magic-link auth, passwordless.
- FR/EN remediation, snippets per stack (Nginx / NPM / Cloudflare) + AI-ready prompts.
- MCP integration, read-only local stdio server (Claude Code) and remote OAuth via Pocket ID (claude.ai), with a
run_scanaction. - Anti-SSRF safeguard, blocking private IPs and
169.254.169.254.
Deployed on a Raspberry Pi via Docker (nuclei preloaded, CI/CD + nightly scan) behind Nginx Proxy Manager + Cloudflare. Public repo.