oanor
Registro gratis
Mercado Precios Funciones Iniciar sesión

API · /securitytxt-api

API security.txt

saludable 3,518 Suscriptoras

Obtén y analiza el archivo security.txt RFC 9116 de cualquier dominio: el archivo legible por máquina en /.well-known/security.txt que indica a los investigadores de seguridad cómo reportar vulnerabilidades. Proporciona un dominio y el servicio localiza el archivo (la ruta canónica .well-known con un fallback raíz heredado), analiza cada campo — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring y CSAF — e informa si es válido (tiene al menos un Contact y un único Expires no vencido), si está firmado con PGP, si ha expirado (con el número de días restantes) y una lista de problemas con consejos concretos. Un endpoint complementario devuelve el archivo sin procesar. La solicitud se realiza del lado del servidor; se rechazan objetivos privados e internos (protegido contra SSRF). Construido para auditorías de seguridad, evaluación de riesgos de proveedores y terceros, revisiones de superficie de ataque y verificaciones de cumplimiento de políticas de divulgación de vulnerabilidades. Un analizador y validador de security.txt — distinto del calificador de cabeceras de seguridad HTTP (secheaders), la verificación de certificados SSL/TLS (sslcheck) y la accesibilidad del host (hostcheck). Sin clave upstream, sin caché.

#security-txt #rfc-9116 #security #vulnerability-disclosure #compliance #web
api.oanor.com/securitytxt-api
Obtener una clave API Pruébalo en el patio de recreo → Contactar proveedor

Especificaciones legibles por máquina para que los agentes de IA puedan integrar este API.

/api/securitytxt-api/openapi.json
/api/securitytxt-api/llms.txt

Descubrimiento: GET /api/index.json enumera todos los API.

salud API

saludable
tiempo de actividad
100.00%
Sondas del servidor · 24h
Latencia promedio
189 ms
Sondas del servidor · 24h
Suscriptoras
3,518
activa
Llamadas totales
0
últimos 7 días
status Página de estado completa → · 3 sondas/24h

Precios

Elija un nivel: facturado mensualmente, cancele en cualquier momento.

Free

Gratis

  • 2,400 llamadas / mes
  • 2 solicitudes / segundo
  • Límite máximo (429 por encima de la cuota, sin excedente)
  • 2,400 llamadas/mes
  • 2 solicitudes/seg
  • Analizar + validar + sin procesar
  • Sin tarjeta de crédito
Inicia sesión para suscribirte

Starter

€6.95 /mes

  • 48,000 llamadas / mes
  • 8 solicitudes / segundo
  • Límite máximo (429 por encima de la cuota, sin excedente)
  • 48k llamadas/mes
  • 8 solicitudes/segundo
  • Caducidad + comprobaciones firmadas con PGP
  • Soporte por correo electrónico
Inicia sesión para suscribirte

Pro

€21.80 /mes

  • 244,000 llamadas / mes
  • 20 solicitudes / segundo
  • Límite máximo (429 por encima de la cuota, sin excedente)
  • 244k llamadas/mes
  • 20 req/seg
  • Evaluación y auditorías de proveedores
  • Soporte prioritario
Inicia sesión para suscribirte

Mega

€57.50 /mes

  • 888,000 llamadas / mes
  • 50 solicitudes / segundo
  • Límite máximo (429 por encima de la cuota, sin excedente)
  • 888k llamadas/mes
  • 50 req/seg
  • Escala de plataforma de cumplimiento
  • SLA dedicado
Inicia sesión para suscribirte

Construido por

P
PremiumApi

Relacionado APIs

Otros APIs con etiquetas superpuestas.

API de robots.txt

Obtén y evalúa el robots.txt de cualquier sitio web. Proporciona una URL y un agente de usuario, y el endpoint de verificación te indica si esa URL es rastreable: selecciona el grupo de agente de usuario más específico y aplica las reglas de coincidencia más larga de Allow/Disallow según RFC 9309 (con comodines * y $, donde Allow gana en empates), y devuelve la regla coincidente, el crawl-delay del grupo y los sitemaps que declara el sitio. El endpoint de análisis devuelve el archivo completo estructurado en grupos por agente de usuario (sus listas de allow y disallow y crawl-delay) más la lista de sitemaps. Un robots.txt faltante (404/403) significa que todo está permitido, exactamente como lo requiere la especificación. La solicitud se realiza del lado del servidor y se rechazan los destinos privados o internos (protegido contra SSRF). Diseñado para auditorías SEO, cumplimiento de rastreadores y scrapers, descubrimiento de sitemaps y verificaciones previas de "¿tengo permiso para obtener esto?". Un evaluador de robots.txt, distinto de la auditoría SEO en página (seo), el kit de herramientas XML (xml) y la previsualización de enlaces (url). Sin clave upstream, sin caché.

api.oanor.com/robots-api

API MTA-STS

Inspecciona la postura de seguridad de transporte SMTP de un dominio — si los servidores de correo están obligados a entregar correo entrante a través de TLS autenticado, protegiéndolo de ataques de degradación y de intermediario. Proporciona un dominio y el servicio obtiene el archivo de política MTA-STS de mta-sts.<dominio>/.well-known/mta-sts.txt (su versión, modo, los hosts MX permitidos y max_age), el registro DNS TXT _mta-sts (su ID de política) y el registro _smtp._tls TLS-RPT (la dirección de informe rua), luego informa si MTA-STS está realmente aplicado y una lista priorizada de problemas — sin archivo de política, sin registro DNS, un modo de solo "testing", o un registro TLS-RPT faltante. Un segundo endpoint devuelve solo el archivo de política analizado. La solicitud se realiza del lado del servidor y los destinos privados/internos son rechazados (protegido contra SSRF). Construido para auditorías de capacidad de entrega de correo electrónico y prevención de ataques de degradación, evaluación de proveedores y terceros, y cumplimiento. Un verificador MTA-STS / TLS-RPT — la contraparte de seguridad de transporte SMTP del analizador de autenticación de correo electrónico (emailsec, que cubre SPF, DKIM y DMARC), y distinto de la consulta DNS sin procesar (dns). Sin clave upstream, sin caché.

api.oanor.com/mtasts-api

API de Descubrimiento OIDC

Inspecciona cualquier proveedor OpenID Connect / OAuth 2.0. Proporciona un emisor (un dominio, una URL de emisor o la URL de descubrimiento completa) y el servicio obtiene el documento de descubrimiento del proveedor en /.well-known/openid-configuration, analiza cada endpoint — autorización, token, userinfo, jwks, registro, fin de sesión, introspección, revocación y autorización de dispositivo — junto con los alcances admitidos, tipos de respuesta, tipos de concesión, algoritmos de firma de token de ID, métodos PKCE y claims, luego obtiene el JWKS y resume sus claves de firma (recuento, algoritmos, tipos de clave e IDs de clave), e informa una verificación de validez con cualquier problema. Un segundo endpoint obtiene y resume cualquier conjunto de claves web JSON por sí mismo. La solicitud se realiza del lado del servidor y los destinos privados/internos son rechazados (protegido contra SSRF). Construido para integración SSO y OAuth/OIDC, depuración de configuración de proveedores de identidad (Auth0, Okta, Keycloak, Azure AD, Google), revisión de seguridad y monitoreo de rotación de claves de firma. Un inspector de descubrimiento OIDC / JWKS — distinto del kit de herramientas JWT (jwt), el analizador de security.txt (securitytxt) y el calificador de encabezados de seguridad HTTP (secheaders). Sin clave upstream, sin caché.

api.oanor.com/oidc-api

API de Integridad de Subrecursos

Genere hashes de Integridad de Subrecursos (SRI) para cualquier activo web, para que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Proporcione una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pase su algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y le indica si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que sus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Diseñado para asegurar scripts de terceros, fortalecer la cadena de suministro, tuberías de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Integridad de Subrecursos, distinto del hash criptográfico sin procesar de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Preguntas frecuentes

Respuestas rápidas sobre precios, cuotas e integración.

¿Cómo obtengo una clave API para API security.txt?
Regístrate gratis en oanor.com, genera una clave API desde el panel de desarrollador y llama a API security.txt con la cabecera x-oanor-key. No se necesita tarjeta de crédito para el plan gratuito.
¿Cuál es el límite de velocidad de API security.txt?
El plan gratuito permite 1 solicitud por segundo. Los planes de pago escalan hasta 50 solicitudes por segundo en el nivel Mega. Los límites rígidos devuelven HTTP 429 por encima de la cuota — sin cargos sorpresa por exceso.
¿Cuánto cuesta API security.txt?
API security.txt ofrece un plan gratuito con 100 llamadas / mes. Los planes de pago empiezan en €6.95 / mes con cuotas más altas y límites de tasa más rápidos.
¿Puedo cancelar mi suscripción en cualquier momento?
Sí. Los planes se facturan mensualmente y puedes cancelar en cualquier momento desde el panel de facturación. Sin contratos a largo plazo ni penalización por cancelación.
¿Cumple API security.txt con el RGPD?
Todas las solicitudes a API security.txt pasan por nuestra pasarela en la UE. Tu clave API upstream nunca sale de nuestro servidor y no se comparten datos personales con el proveedor upstream más allá de la solicitud enviada.

Elija un punto final de la lista de la izquierda para ver sus detalles y pruébelo.

Fragmentos de código

Regístrese para obtener una clave API, luego llame a cualquier ruta debajo de su slug.

curl https://api.oanor.com/securitytxt-api/SOME_PATH \
  -H "x-oanor-key: oanor_test_..."
const res = await fetch("https://api.oanor.com/securitytxt-api/SOME_PATH", {
  headers: { "x-oanor-key": "oanor_test_..." }
});
const data = await res.json();
$ch = curl_init("https://api.oanor.com/securitytxt-api/SOME_PATH");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, ["x-oanor-key: oanor_test_..."]);
$response = curl_exec($ch);
import requests
r = requests.get(
    "https://api.oanor.com/securitytxt-api/SOME_PATH",
    headers={"x-oanor-key": "oanor_test_..."},
)
print(r.json())

Calificaciones

Inicia sesión para calificar.

Aún no hay reseñas.

Discusión

Haz preguntas, comparte trucos, recibe respuestas del proveedor y otros desarrolladores. Público — cualquiera puede leer.

Inicia sesión para escribir o responder.

Iniciar sesión

Nueva discusión

/ 4000

📌 Fijada 🔒 Bloqueada

·

· ·

/ 4000

🔒 Esta discusión está bloqueada — sin nuevas respuestas.

  • Sin discusiones todavía — empieza tú.

Soporte

Soporte privado 1:1 con el proveedor — facturación, integración, cuenta. Solo tú y el equipo del proveedor ven estos hilos.

Inicia sesión para abrir un ticket de soporte.

Iniciar sesión

Abrir nuevo ticket

Describe en qué necesitas ayuda. El equipo recibe un email y responde en la página del ticket.

  • Sin tickets para esta API.

Suscripción activa: las llamadas pueden empezar de inmediato.

Envía tu primera solicitud —

Suscripción activa: copie un fragmento y realice su primera llamada.