Reálná kontrola veřejně dostupných prvků webu. Kvůli CORS běží přes serverový endpoint api.php. Nástroj stahuje hlavně hlavičky, neobsahuje exploit payloady a nejde o pentest.
Kontroluje finální protokol, HTTP status a přesměrování. Dlouhý redirect chain může zhoršit výkon i bezpečnostní přehled.
Kontrola CSP, HSTS, X-Frame-Options / frame-ancestors, X-Content-Type-Options, Referrer-Policy a Permissions-Policy.
Pokud jsou ve veřejné odpovědi cookies, kontrolují se viditelné atributy Secure, HttpOnly a SameSite.
Výsledek rovnou vypíše konkrétní doporučení, co doplnit v konfiguraci webu, serveru nebo aplikace.
API blokuje lokální a privátní adresy, validuje redirecty ručně, používá timeouty a povoluje jen HTTP/HTTPS.
Zadejte veřejnou URL a spusťte audit.
Skóre nálezů je problémové skóre: 0 znamená bez zjevných nálezů, vyšší číslo znamená více nebo závažnější doporučení. Neověřitelné věci se nemají vydávat za chybu.
Po auditu se zde zobrazí praktické návrhy pro Apache/.htaccess a PHP fallback. CSP a HSTS nasazuj postupně podle konkrétní aplikace, aby se nerozbila.
Po auditu se sem poskládá praktický seznam oprav podle dopadu. Nejdřív transport a session, potom prohlížečové politiky a doplňkové hlavičky.
Report se skládá v prohlížeči z výsledku posledního auditu. Nic se neukládá na server. Hodí se pro poznámky, checklist nebo kopírování do interní dokumentace.
Report se zobrazí po auditu.
Po spuštění se sem vypíšou hlavní signály. Zelená je dobrý základ, žlutá znamená ruční kontrolu, červená prioritu opravy.
Web Audit je pasivní kontrola veřejně dostupných prvků. Kontroluje hlavně HTTPS, status, redirecty, hlavičky a viditelné cookie atributy. Není to penetrační test.
Načte veřejné hlavičky webu a vyhodnotí základní bezpečnostní signály bez exploitů.
Upozorní na chybějící HSTS, CSP, ochranu proti rámování, Referrer-Policy nebo cookie atributy.
Některé cookies vznikají až po přihlášení nebo v aplikaci. Veřejná kontrola nemusí zachytit celý stav.
Nekontroluje SQL injection, XSS payloady, přihlášení, databázi ani interní administraci.
U webu nejde jen o zámek v adresním řádku. Dobrý základ je HTTPS, bezpečné cookies, rozumná CSP a omezení rámování.
Přesměrování z HTTP na HTTPS a HSTS snižují riziko downgrade a odposlechu.
CSP se musí ladit podle reálných skriptů, fontů a API. Kopírovat cizí CSP naslepo často rozbije web.
Session cookie má být Secure, HttpOnly a SameSite. U přihlášených částí je to zásadní.
Automatický výsledek je start. Finální nastavení musí ověřit člověk na konkrétní aplikaci.
Ne každá hlavička má stejnou váhu. SecureVault Web Audit řadí nejdřív věci, které chrání transport, session a prohlížeč před běžnými útoky.
Bez HTTPS a správných session cookies nemá smysl řešit kosmetiku. Session má být Secure, HttpOnly a SameSite.
HTTP musí jít na HTTPS. HSTS zapnout až když je doména i subdomény připravená na čisté HTTPS.
CSP omezuje zdroje skriptů a frame-ancestors/XFO pomáhá proti clickjackingu.
Dolaďují únik informací a přístup k funkcím prohlížeče. Jsou důležité, ale po základech.
Tady nejde o slepé kopírování. Každý web má jiné skripty, fonty, API a přihlášení. Tyhle body jsou jen bezpečný checklist pro ruční nastavení.
Přidávat až když je HTTPS funkční na celé doméně i subdoménách, jinak může zamknout špatnou konfiguraci.
Začít opatrně přes report-only režim, potom zpřísňovat podle reálných zdrojů webu.
U přihlášení držet Secure + HttpOnly + SameSite. V PHP řešit i session_regenerate_id po loginu.
Proti clickjackingu použít X-Frame-Options SAMEORIGIN nebo modernější CSP frame-ancestors.
Nekopírovat naslepo do produkce bez testu. CSP se musí doladit podle reálných skriptů, fontů, obrázků a API vašeho webu.
# HTTPS redirect řešit jen pokud hosting nemá vlastní přesměrování
# RewriteEngine On
# RewriteCond %{HTTPS} !=on
# RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
# HSTS zapnout až po ověření HTTPS na celé doméně
# Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
# CSP ladit postupně podle konkrétního webu
# Header always set Content-Security-Policy "default-src 'self'; frame-ancestors 'self'; base-uri 'self'; object-src 'none';"
Self-test ověří pouze vlastní API endpoint a aktuální doménu. Pro reálný audit použijeme náš web nebo URL, kterou zadá uživatel — žádné automatické testy cizích webů.
Self-test zatím nebyl spuštěn.
Historie je uložená pouze v tomto prohlížeči. Vymazání historie smaže jen seznam posledních auditů na tomto zařízení — lokální statistiky zůstanou zachované.
Počítadla jsou lokální v prohlížeči a slouží jen jako přehled aktivity na tomto zařízení. Historii auditů lze smazat samostatně; statistiky lze resetovat zvlášť.
Krátké praktické vysvětlení, proč hlavička existuje, co chrání a proč se nemá nasazovat naslepo bez testu konkrétní aplikace.
Nutí prohlížeč používat HTTPS. Zapínat až po ověření, že HTTPS funguje na celé doméně i subdoménách.
Omezuje zdroje skriptů, stylů a rámování. Začít přes report-only a postupně zpřísňovat podle reálného webu.
Pomáhá proti clickjackingu. Modernější je CSP frame-ancestors, ale XFO je stále praktický fallback.
Hodnota nosniff snižuje riziko MIME sniffingu, kdy prohlížeč interpretuje soubor jinak, než server deklaruje.
Řídí, kolik informací o původní URL se pošle na další web. Pomáhá omezit únik citlivých cest.
Pomáhá proti některým CSRF scénářům. Přihlášení má používat Secure, HttpOnly a vhodné SameSite podle toku aplikace.
Lokální kontrola, jestli zadaná doména odpovídá známé oficiální doméně, nebo jestli připomíná napodobeninu. Hodí se pro phishing odkazy, QR cíle, SMS, falešné přihlášení a platební stránky.
Vybereš známou značku, například SecureVault.cz nebo Alza. Nástroj ví, jaké domény jsou pro ni v lokálním seznamu považované za oficiální.
Použij, když chceš ověřovat napodobeniny své domény. Do pole vložíš například securevault.cz a kontroluješ podezřelé varianty.
Nižší číslo znamená menší riziko. Vyšší číslo ukazuje podezření na typo doménu, špatnou TLD, login slova nebo neověřenou subdoménu.
Používej jako orientační kontrolu. Nízké skóre neznamená automaticky bezpečný web. U citlivých účtů vždy otevři adresu ručně nebo přes uloženou záložku.
| čas | doména | výsledek | riziko | poznámka |
|---|---|---|---|---|
| Historie je zatím prázdná. | ||||
Historie je uložená jen v LocalStorage v tomto prohlížeči. Neslouží jako serverová analytika.
Profesionální výstup, který sjednotí bezpečnostní, technické, soukromé a doménové signály do jednoho přehledu. V této fázi jde o lokální orientační model bez online skenování serveru.
Výsledek ukáže orientační technické skóre, soukromí, bezpečnostní signály a doporučené opravy.
Hlavičky a HTTPS jsou jen část bezpečnosti. Po pasivním auditu je dobré projít kód, session tok a integritu souborů.
Zkontroluj PHP/JS/HTML/.htaccess vzory, debug výpisy, uploady, session a CSRF signály.
Otevřít Code InspectorU releasů, archivů a instalátorů porovnej SHA-256 otisk ve Verify Download Mode.
Otevřít Hash ToolsAdmin účty musí mít silná unikátní hesla, 2FA a rozumnou password policy.
Otevřít Password Center