Darmowy skaner bezpieczeństwa strony — sprawdź w kilka sekund
Uruchomiliśmy darmowy, bezstanowy skaner bezpieczeństwa stron. Sprawdza HTTPS, nagłówki, cookies, SPF/DMARC i więcej — bez zapisu danych. Zobacz, co potrafi.
Większość właścicieli stron nie wie, jak wygląda ich witryna z perspektywy atakującego — dopóki nie jest za późno. Dlatego udostępniliśmy darmowy skaner bezpieczeństwa stron: wpisujesz domenę, a w kilka sekund dostajesz przejrzysty raport z oceną, listą problemów i konkretnymi rekomendacjami. Bez rejestracji, bez płatności i — co dla nas kluczowe — bez zapisywania jakichkolwiek danych. Ten wpis wyjaśnia, co skaner sprawdza, jak działa i jak najlepiej z niego skorzystać.
Czym jest skaner Breachroad
To narzędzie do pasywnego przeglądu konfiguracji bezpieczeństwa dowolnej publicznej strony. „Pasywny” oznacza, że skaner odpytuje wyłącznie publicznie dostępne, nieinwazyjne informacje — nie przeprowadza ataków, nie testuje exploitów i w żaden sposób nie ingeruje w cel. To odpowiednik szybkiego badania przesiewowego: w kilka sekund pokazuje najczęstsze braki i daje punkt wyjścia do ich naprawy.
Znajdziesz go pod adresem breachroad.com/scan. Wpisujesz domenę (np. twojafirma.pl), klikasz „Uruchom skan” i po chwili widzisz raport.
Co dokładnie sprawdza
Skaner łączy kilkanaście kontroli w jeden raport:
- Szyfrowanie i transport — czy strona wymusza HTTPS i przekierowuje ruch z HTTP, czy ustawiono HSTS.
- Nagłówki bezpieczeństwa — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. To warstwa, która chroni użytkowników przed atakami XSS i clickjackingiem.
- Ciasteczka — czy flagi Secure, HttpOnly i SameSite są ustawione.
- Bezpieczeństwo poczty — SPF, DKIM i DMARC oraz rekordy MX, czyli ochrona przed podszywaniem się pod Twoją domenę w e-mailach.
- Higiena DNS — DNSSEC i rekordy CAA.
- Ekspozycja serwera i plików — czy nagłówki nie zdradzają wersji oprogramowania oraz czy publicznie nie są dostępne wrażliwe pliki (np.
.git,.env), z ochroną przed fałszywymi trafieniami. - Podatności bibliotek — wykrywanie przestarzałych wersji popularnych bibliotek JS ze znanymi CVE.
- Technologie i subdomeny — fingerprint stosu technologicznego oraz mapowanie subdomen z publicznych logów Certificate Transparency.
- Ekspozycja adresów e-mail i publiczne ścieżki (robots.txt, sitemap.xml, security.txt).
Na końcu skaner wystawia wynik 0–100, ocenę A–F i poziom ryzyka, a także listę głównych problemów i rekomendacji.
Prywatność przede wszystkim
Zbudowaliśmy skaner jako całkowicie bezstanowy. W praktyce oznacza to, że:
- nie zapisujemy adresów, wyników ani logów skanowania,
- nie budujemy historii skanów ani profilu użytkownika,
- każdy skan jest niezależny i efemeryczny — gdy zamkniesz stronę, dane znikają.
To świadoma decyzja: narzędzie bezpieczeństwa nie powinno samo stawać się bazą danych o cudzych stronach. Skanujesz, dostajesz raport, koniec.
Jak z niego korzystać
- Wejdź na breachroad.com/scan i wpisz swoją domenę.
- Poczekaj kilka sekund na raport.
- Przejrzyj wynik i poziom ryzyka, a potem sekcję wykrytych problemów — każdy ma opis, rekomendację i klasyfikację (CWE, OWASP).
- Pobierz raport w PDF lub JSON, jeśli chcesz się nim podzielić z zespołem albo zachować do porównania.
- Napraw znalezione braki i przeskanuj ponownie. O tym, jak czytać wynik i co konkretnie poprawić, piszemy w osobnym wpisie: jak czytać wynik skanu i naprawić problemy.
Czego skaner NIE zastępuje
Chcemy być tu w pełni uczciwi: pasywny skaner pokazuje wierzchołek góry lodowej. Sprawdza konfigurację widoczną z zewnątrz, ale nie znajdzie błędów logiki aplikacji, luk w kontroli dostępu (IDOR), podatności typu SQL injection czy XSS wymagających aktywnego testowania. Tego typu problemy wykrywa dopiero manualny test penetracyjny. Skaner to doskonały pierwszy krok i darmowe narzędzie higieny — ale nie audyt.
Najczęstsze pytania (FAQ)
Czy skaner jest naprawdę darmowy? Tak, w pełni — bez rejestracji, limitów kont i opłat. Zbudowaliśmy go jako narzędzie, które realnie pomaga podnieść poziom bezpieczeństwa w sieci, i traktujemy jako wizytówkę naszego podejścia do bezpieczeństwa.
Czy mogę przeskanować dowolną stronę? Skaner odpytuje wyłącznie publicznie dostępne, nieinwazyjne informacje, więc jest bezpieczny do użycia. Adresy lokalne i prywatne (localhost, sieci wewnętrzne, adresy metadanych) są blokowane. Najlepiej skanuj własne domeny — dostaniesz wtedy raport, który możesz od razu wykorzystać.
Czy skanowanie zaszkodzi mojej stronie? Nie. Skaner wykonuje wyłącznie pasywne, nieinwazyjne zapytania — takie same, jakie robi każda przeglądarka czy robot wyszukiwarki. Nie testuje exploitów, nie wysyła złośliwych żądań i nie obciąża serwera.
Co oznacza wynik i ocena? Punktacja startuje od 100 i maleje za brakujące zabezpieczenia; litera A–F i poziom ryzyka (niskie/średnie/wysokie) to skrót ułatwiający priorytetyzację. To wskazówka, od czego zacząć — nie zastępuje pełnego audytu. Jak dokładnie czytać wynik, tłumaczymy w osobnym poradniku.
Znalazłem u siebie problemy — co dalej? Zacznij od rekomendacji w raporcie; większość braków (nagłówki, cookies, SPF/DMARC) naprawisz w konfiguracji serwera lub DNS. Jeśli chcesz pełnego obrazu ryzyka albo Twoja strona przetwarza dane i płatności, umów bezpłatną konsultację — pomożemy zaplanować test penetracyjny i audyt.
Podsumowanie
Darmowy skaner Breachroad to szybki sposób, by zobaczyć swoją stronę oczami atakującego: HTTPS, nagłówki, cookies, bezpieczeństwo poczty, ekspozycja plików i więcej — w kilka sekund, bez zapisu danych. To świetny pierwszy krok do domknięcia najczęstszych braków. Wypróbuj go na breachroad.com/scan, a jeśli chcesz pójść głębiej niż pozwala skan pasywny — porozmawiajmy o pełnym teście.
Skaner działa pasywnie i bezstanowo. Nie zastępuje manualnego testu penetracyjnego. Masz pytania lub sugestie? Napisz do nas.