Guia de uso
Como usar este site
Um guia prático da caixa de ferramentas: o que existe aqui, como cada ferramenta funciona, qual usar em cada caso e como o site trata privacidade, idiomas e uso offline. Tudo é calculado localmente, no seu navegador.
Visão geral
O essencial em um só painel. Estes números são gerados a partir do próprio site no momento da compilação, então sempre refletem o que está de fato publicado.
- Ferramentas ativas
- 77
- Categorias
- 11
- Artigos do Aprenda
- 280
- Idiomas
- 16
- Onde roda
- No seu navegador, no seu dispositivo
- Seus dados
- Por padrão, nunca enviados a lugar nenhum
- Licença do código
- Apache-2.0
- Licença do conteúdo
- CC BY 4.0
- Feito com
- Next.js, um progressive web app exportado de forma estática
- Preço
- Uso gratuito; a primeira resposta útil nunca fica atrás de um paywall
Referência de ferramentas
Todas as ferramentas de uso geral, organizadas por categoria. Esta lista é gerada a partir do registro ativo, então está sempre completa. As ferramentas ligadas a um fabricante específico ficam na página desse fabricante.
Certificados e PKI
- Calculadora de TXT dns-01 do ACMECalcule o registro TXT de um desafio dns-01 do ACME, a partir do token e da chave da conta.
- Decodificador de certificados X.509Cole um certificado em PEM, base64 ou hex para ler seu titular, emissor, janela de validade, chave pública e extensões v3, com impressões digitais SHA-256 e SHA-1. Roda inteiramente no seu navegador.
- Decodificador de CSRDecodifique uma solicitação de assinatura de certificado PKCS#10 para ler seu sujeito, chave pública, SANs e extensões solicitados, e atributos; tudo no navegador.
- Planejador de limites da Let's EncryptPlaneje a emissão de certificados para um conjunto de nomes de host: agrupe-os por domínio registrado e veja como se encaixam nos limites da Let's Encrypt.
- Planejador de renovação de certificadosCalcule a validade de um certificado TLS, se ele se encaixa no cronograma de 47 dias do CA/Browser Forum, e a cadência de renovação que isso implica; tudo offline.
Codificação e dados
- Códec Base64, Base32, Hex e PorcentualCodifica texto para Base64, Base64 seguro para URL, Base32, hexadecimal ou codificação porcentual, e decodifica qualquer um deles de volta. Tolera preenchimento e espaços em branco ausentes, e sinaliza resultados binários (não UTF-8). É executado inteiramente no seu navegador.
- Conversor de tempo UnixDigite um timestamp Unix — segundos, milissegundos, microssegundos ou nanossegundos, detectado automaticamente — ou uma data ISO-8601, e leia de volta em todos os formatos comuns. Tudo no seu navegador.
- Conversor JSON ↔ YAMLConverta JSON para YAML em estilo de bloco ou YAML de volta para JSON, inteiramente no seu navegador. Erros de análise apontam a linha e a coluna exatas, e notas de conversão sinalizam as bordas com perda, como comentários descartados e âncoras expandidas.
- Formatador e Validador JSONValide, formate, minifique e ordene JSON. Erros de análise apontam a linha, coluna e o caminho exatos; chaves duplicadas são sinalizadas; e números grandes são preservados exatamente. Roda inteiramente no seu navegador.
Hashing e cripto
- Gerador de hash (SHA-1/256/384/512)Calcule resumos SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, mostrados em hex e Base64, usando o Web Crypto nativo do navegador. Roda inteiramente no seu navegador.
- Gerador de HMAC (SHA-256/384/512)Calcule um HMAC com chave sobre uma mensagem usando sua chave secreta, mostrado em hex e Base64, via o Web Crypto nativo do navegador. A mesma construção que o verificador de JWT usa para HS256. Sua chave nunca sai do seu navegador.
- Localizador de Pré-imagem de HashVeja uma busca local por força bruta, limitada, recuperar em segundos a entrada de um hash fraco — ou esgotar o espaço de chaves diante de qualquer coisa com entropia real. Sem wordlist, sem tabela, apenas o seu navegador. Uma demonstração de por que hashes rápidos e sem sal falham.
Identidade e tokens
- Decodificador e verificador de JWTDecodifique o cabeçalho e os claims de um JSON Web Token, leia sua expiração e seus tempos em linguagem clara e verifique uma assinatura HS256/384/512 com um segredo colado. Roda inteiramente no seu navegador.
- Decodificador OIDCCole um ID token do OpenID Connect ou um documento .well-known/openid-configuration e decodifique: as claims principais, claims de perfil, endpoints e capacidades, com verificações de claims obrigatórias, algoritmo de assinatura, nonce e PKCE.
- Decodificador SAMLCole uma resposta ou asserção SAML (bruta, base64 ou URL-encoded) e decodifique emissor, status, sujeito, condições, audiência e atributos, com verificação de assinatura e de algoritmos fracos. Protegido contra XXE.
- Explicador de JWKS + correspondência de chavesCole um JSON Web Key Set para detalhar cada chave, sinalizar qualquer material privado e corresponder um JWT à sua chave pelo kid. Nada sai do seu navegador.
- Gerador e validador TOTP / HOTPGere e verifique senhas de uso único baseadas em tempo (TOTP, RFC 6238) e em contador (HOTP, RFC 4226) - os códigos por trás dos aplicativos autenticadores e de tokens físicos como o FortiToken. SHA-1/256/512, com dígitos e intervalo configuráveis. Tudo calculado localmente com Web Crypto; seu segredo nunca sai do navegador.
- Verificador e challenge de OAuth PKCEGere um code_verifier de OAuth 2.0 e derive seu code_challenge S256, ou cole o seu e verifique-o com as regras de comprimento e de conjunto de caracteres do RFC 7636. A mesma derivação SHA-256 em base64url que o seu servidor de autorização espera. Roda inteiramente no seu navegador.
Identificadores
- Gerador e inspetor de UUID (v4 / v7)Gere UUIDs v4 aleatórios ou v7 ordenados por tempo, ou cole qualquer UUID para ler sua versão, variante e (para v7) o carimbo de data/hora de criação embutido. A geração usa a fonte aleatória segura do navegador. Roda inteiramente no seu navegador.
Operações e fieldcraft
- Construtor de Hipóteses de FalhaDescreva uma falha em seis campos estruturados; um conjunto fixo de regras classifica hipóteses a testar - com as evidências a coletar, o que sustentaria cada uma e o que a enfraqueceria. Estrutura consultiva, nunca um diagnóstico.
Redes
- Calculadora CIDR / de sub-redesDecomponha qualquer bloco CIDR de IPv4 em endereços de rede e de broadcast, faixa de hosts utilizáveis, contagem de hosts e máscara de rede. Roda inteiramente no seu navegador.
- Decodificador + codificador de PRI syslogDecodifique um PRI de syslog como 134 em sua facility e severity, ou codifique-os de volta, tudo no seu navegador.
- Domínio registrado (eTLD+1)Descubra o sufixo público (eTLD) e o domínio registrado (eTLD+1) de qualquer nome de host, usando a Public Suffix List.
- explicador de saída do digCole a saída real do dig e obtenha um detalhamento decodificado e explicado: o cabeçalho e as flags, a pseudo-seção OPT do EDNS, cada registro em cada seção e as estatísticas da consulta. Analisado inteiramente no seu navegador, nada é resolvido nem enviado a lugar algum.
- explicador de saída do nslookupCole a saída real do nslookup e obtenha um detalhamento decodificado e explicado: o resolvedor usado, se a resposta é autoritativa, cada registro (com breakdown de campos de MX / SRV / SOA) e quaisquer falhas. Analisado inteiramente no seu navegador, nada é resolvido nem enviado a lugar algum.
- Kit de ferramentas IPv6Analise um endereço ou prefixo IPv6 para ver suas formas canônica (RFC 5952) e totalmente expandida, sua classificação de uso especial, a aritmética de prefixo, um MAC EUI-64 se presente e seu nome de DNS reverso ip6.arpa. Roda inteiramente no seu navegador.
Segurança e WAF
- Analisador de Cabeçalhos de SegurançaCole uma resposta HTTP e veja uma análise com nota dos cabeçalhos de segurança, flags de cookies e política de origem cruzada, verificada contra OWASP, RFC 6797, CSP Level 3 e RFC 6265bis.
- Classificador de URL para SSRFCole uma URL e veja para onde ela realmente aponta: loopback, uma faixa privada ou link-local, um endpoint de metadados de nuvem, CGNAT, espaço reservado ou a internet pública. Ofuscação de IP em decimal, octal e hexadecimal é decodificada, esquemas perigosos e credenciais embutidas são sinalizados, e um nível de risco de SSRF é exibido. Nunca resolve DNS e nunca envia a requisição.
- Decodificador de vetor CVSSCole um vetor CVSS v3.1 ou v3.0 e veja a pontuação calculada e mapeada para uma severidade, com cada métrica explicada. Local e offline; nada é enviado a lugar nenhum.
- Decodificador XMLCole XML e leia sua estrutura: a declaração, o DOCTYPE e quaisquer entidades, a árvore de elementos com namespaces e atributos, mais uma verificação de segurança da superfície de ataque XML. Nada é buscado ou resolvido.
Texto e utilitários
- Diff de textoCompare dois blocos de texto e veja exatamente o que mudou, linha a linha, com destaque em nível de palavra nas linhas editadas. Opcionalmente, ignore espaços em branco ou maiúsculas e minúsculas. Tudo é calculado no seu navegador; seu texto nunca é enviado a lugar nenhum.
TLS e transporte
- Decodificador de suítes de cifraInforme uma suíte de cifra TLS, como nome IANA, nome OpenSSL ou GnuTLS, ou um ponto de código hexadecimal, para destrinchá-la em troca de chaves, autenticação, cifra, modo e MAC, com uma leitura de segurança em linguagem clara e a recomendação oficial da IANA. Roda inteiramente no seu navegador contra uma cópia embutida do registro da IANA.
Web e HTTP
- Construtor de comandos curlEscolha qualquer um dos 27 protocolos que o curl fala, preencha campos que se adaptam ao protocolo e receba o comando exato, com cada flag explicada e avisos de segurança. O inverso do tradutor de requisições HTTP: aquele lê um comando, este escreve um.
- Inspetor de URLDisseca qualquer URL em suas partes nomeadas: esquema, host, porta, caminho, parâmetros de query e fragmento. Decodifica escapes percent e hosts internacionalizados, e sinaliza credenciais e outros problemas. Roda inteiramente no seu navegador.
- Kit de RegexTeste, explique e depure expressões regulares com correspondências ao vivo e verificação de risco de backtracking.
- Tradutor de requisições HTTPCole um comando curl e veja-o explicado sinalizador por sinalizador, depois traduzido para fetch, uma requisição HTTP crua, HTTPie e Python requests. Local e offline; o comando é decodificado no seu navegador e nada é enviado ou executado.
Sugestões de uso
Tarefas comuns e as ferramentas que as resolvem. Siga as ferramentas na ordem indicada para cada tarefa.
Inspecionar um token recebido
Decodifique um JSON Web Token para ler suas claims e, depois, decodifique quaisquer campos em Base64 dentro dele.
Planejar uma sub-rede IP
Calcule faixas de rede, máscaras e número de hosts em IPv4 e faça o mesmo para IPv6.
Trabalhar com um certificado TLS
Decodifique um certificado para ver seus campos, verifique uma solicitação de assinatura e planeje a data de renovação.
Configurar login em um aplicativo
Entenda um fluxo OpenID Connect, adicione PKCE para um cliente público e inclua um segundo fator com senha de uso único.
Ler uma resposta de DNS
Interprete a saída do dig e a do nslookup, linha por linha.
Verificar a integridade dos dados
Calcule o hash de um dado ou um HMAC quando houver um segredo compartilhado.
Depurar um login SAML (SSO)
Decodifique uma resposta SAML para ler suas asserções e condições e, em seguida, inspecione o certificado X.509 que a assinou.
Associar um token à sua chave de assinatura
Leia um conjunto de chaves JWKS para ver as chaves publicadas e, em seguida, decodifique um JSON Web Token para encontrar a chave que o assinou.
Entender uma conexão TLS
Decodifique a suíte de cifras negociada, inspecione o certificado do servidor e revise os cabeçalhos de segurança da resposta.
Reforçar a segurança de uma resposta web
Audite os cabeçalhos de segurança HTTP de um site e, em seguida, inspecione a URL que esses cabeçalhos protegem.
Avaliar o risco de SSRF em uma URL
Classifique se uma URL pode alcançar um alvo interno e, em seguida, inspecione suas partes em detalhe.
Pontuar uma vulnerabilidade
Decodifique uma string de vetor CVSS em suas métricas para entender o quão grave é uma descoberta.
Converter e organizar uma configuração
Converta uma configuração entre JSON e YAML e, em seguida, formate o resultado para que fique fácil de ler.
Comparar dois arquivos
Normalize dois blocos JSON com o formatador e, em seguida, compare-os para ver exatamente o que mudou.
Reproduzir uma requisição HTTP
Divida uma URL em suas partes e, em seguida, traduza a chamada para curl, fetch ou outro cliente.
Identificar um hash desconhecido
Pesquise um digest em relação a valores conhecidos e, em seguida, recalcule um hash para confirmar a correspondência.
Ler uma linha de syslog
Decodifique um valor PRI de syslog em sua facility e severidade.
Criar e testar uma regex
Escreva uma expressão regular e teste-a com texto de exemplo conforme avança.
Manual
Usando uma ferramenta
Abra qualquer ferramenta, cole ou digite sua entrada e o resultado aparece na hora. Não há login nem nada para instalar. A maioria das ferramentas traz um botão Exemplo, que preenche uma entrada de amostra, e um botão Limpar, que zera os campos. Abaixo de cada ferramenta há artigos do Aprenda que explicam o conceito por trás dela.
Privacidade e temas
As ferramentas rodam inteiramente no seu navegador, então os dados que você digita não são transmitidos a lugar nenhum por padrão. A escolha de tema é lembrada apenas no seu dispositivo. O idioma fica no endereço da página, e não é armazenado. A página de Privacidade explica exatamente o que é e o que não é guardado.
A API
A lógica de cada ferramenta também é documentada como uma API, com uma especificação legível por máquina disponível na página da API. A API é documentada como referência; se as requisições são atendidas depende da configuração atual do site, o que a página da API informa com clareza.
Idiomas
A interface está disponível em vários idiomas; troque pelo controle de idioma no cabeçalho. Inglês e português do Brasil são escritos diretamente. Quando uma frase ainda não foi traduzida para um idioma, o texto em inglês é exibido nessa frase, de modo que nada fique faltando.
Uso offline
O site é um progressive web app. Depois da primeira visita, o navegador pode mantê-lo disponível e, como as ferramentas calculam localmente, elas continuam funcionando sem conexão. Você pode adicionar o site à tela inicial ou à área de trabalho como um aplicativo.
Código e licença
O projeto é de código aberto. O código é licenciado sob Apache 2.0 e o conteúdo escrito sob CC BY 4.0. Você pode ler o código, relatar um problema ou sugerir uma ferramenta pelo repositório, que fica no rodapé e na página de Licença.