Guia de uso

Como usar este site

Um guia prático da caixa de ferramentas: o que existe aqui, como cada ferramenta funciona, qual usar em cada caso e como o site trata privacidade, idiomas e uso offline. Tudo é calculado localmente, no seu navegador.

Visão geral

O essencial em um só painel. Estes números são gerados a partir do próprio site no momento da compilação, então sempre refletem o que está de fato publicado.

Ferramentas ativas
77
Categorias
11
Artigos do Aprenda
280
Idiomas
16
Onde roda
No seu navegador, no seu dispositivo
Seus dados
Por padrão, nunca enviados a lugar nenhum
Licença do código
Apache-2.0
Licença do conteúdo
CC BY 4.0
Feito com
Next.js, um progressive web app exportado de forma estática
Preço
Uso gratuito; a primeira resposta útil nunca fica atrás de um paywall

Referência de ferramentas

Todas as ferramentas de uso geral, organizadas por categoria. Esta lista é gerada a partir do registro ativo, então está sempre completa. As ferramentas ligadas a um fabricante específico ficam na página desse fabricante.

Certificados e PKI

  • Calculadora de TXT dns-01 do ACMECalcule o registro TXT de um desafio dns-01 do ACME, a partir do token e da chave da conta.
  • Decodificador de certificados X.509Cole um certificado em PEM, base64 ou hex para ler seu titular, emissor, janela de validade, chave pública e extensões v3, com impressões digitais SHA-256 e SHA-1. Roda inteiramente no seu navegador.
  • Decodificador de CSRDecodifique uma solicitação de assinatura de certificado PKCS#10 para ler seu sujeito, chave pública, SANs e extensões solicitados, e atributos; tudo no navegador.
  • Planejador de limites da Let's EncryptPlaneje a emissão de certificados para um conjunto de nomes de host: agrupe-os por domínio registrado e veja como se encaixam nos limites da Let's Encrypt.
  • Planejador de renovação de certificadosCalcule a validade de um certificado TLS, se ele se encaixa no cronograma de 47 dias do CA/Browser Forum, e a cadência de renovação que isso implica; tudo offline.

Codificação e dados

  • Códec Base64, Base32, Hex e PorcentualCodifica texto para Base64, Base64 seguro para URL, Base32, hexadecimal ou codificação porcentual, e decodifica qualquer um deles de volta. Tolera preenchimento e espaços em branco ausentes, e sinaliza resultados binários (não UTF-8). É executado inteiramente no seu navegador.
  • Conversor de tempo UnixDigite um timestamp Unix — segundos, milissegundos, microssegundos ou nanossegundos, detectado automaticamente — ou uma data ISO-8601, e leia de volta em todos os formatos comuns. Tudo no seu navegador.
  • Conversor JSON ↔ YAMLConverta JSON para YAML em estilo de bloco ou YAML de volta para JSON, inteiramente no seu navegador. Erros de análise apontam a linha e a coluna exatas, e notas de conversão sinalizam as bordas com perda, como comentários descartados e âncoras expandidas.
  • Formatador e Validador JSONValide, formate, minifique e ordene JSON. Erros de análise apontam a linha, coluna e o caminho exatos; chaves duplicadas são sinalizadas; e números grandes são preservados exatamente. Roda inteiramente no seu navegador.

Hashing e cripto

  • Gerador de hash (SHA-1/256/384/512)Calcule resumos SHA-1, SHA-256, SHA-384 e SHA-512 de qualquer texto, mostrados em hex e Base64, usando o Web Crypto nativo do navegador. Roda inteiramente no seu navegador.
  • Gerador de HMAC (SHA-256/384/512)Calcule um HMAC com chave sobre uma mensagem usando sua chave secreta, mostrado em hex e Base64, via o Web Crypto nativo do navegador. A mesma construção que o verificador de JWT usa para HS256. Sua chave nunca sai do seu navegador.
  • Localizador de Pré-imagem de HashVeja uma busca local por força bruta, limitada, recuperar em segundos a entrada de um hash fraco — ou esgotar o espaço de chaves diante de qualquer coisa com entropia real. Sem wordlist, sem tabela, apenas o seu navegador. Uma demonstração de por que hashes rápidos e sem sal falham.

Identidade e tokens

  • Decodificador e verificador de JWTDecodifique o cabeçalho e os claims de um JSON Web Token, leia sua expiração e seus tempos em linguagem clara e verifique uma assinatura HS256/384/512 com um segredo colado. Roda inteiramente no seu navegador.
  • Decodificador OIDCCole um ID token do OpenID Connect ou um documento .well-known/openid-configuration e decodifique: as claims principais, claims de perfil, endpoints e capacidades, com verificações de claims obrigatórias, algoritmo de assinatura, nonce e PKCE.
  • Decodificador SAMLCole uma resposta ou asserção SAML (bruta, base64 ou URL-encoded) e decodifique emissor, status, sujeito, condições, audiência e atributos, com verificação de assinatura e de algoritmos fracos. Protegido contra XXE.
  • Explicador de JWKS + correspondência de chavesCole um JSON Web Key Set para detalhar cada chave, sinalizar qualquer material privado e corresponder um JWT à sua chave pelo kid. Nada sai do seu navegador.
  • Gerador e validador TOTP / HOTPGere e verifique senhas de uso único baseadas em tempo (TOTP, RFC 6238) e em contador (HOTP, RFC 4226) - os códigos por trás dos aplicativos autenticadores e de tokens físicos como o FortiToken. SHA-1/256/512, com dígitos e intervalo configuráveis. Tudo calculado localmente com Web Crypto; seu segredo nunca sai do navegador.
  • Verificador e challenge de OAuth PKCEGere um code_verifier de OAuth 2.0 e derive seu code_challenge S256, ou cole o seu e verifique-o com as regras de comprimento e de conjunto de caracteres do RFC 7636. A mesma derivação SHA-256 em base64url que o seu servidor de autorização espera. Roda inteiramente no seu navegador.

Identificadores

  • Gerador e inspetor de UUID (v4 / v7)Gere UUIDs v4 aleatórios ou v7 ordenados por tempo, ou cole qualquer UUID para ler sua versão, variante e (para v7) o carimbo de data/hora de criação embutido. A geração usa a fonte aleatória segura do navegador. Roda inteiramente no seu navegador.

Operações e fieldcraft

  • Construtor de Hipóteses de FalhaDescreva uma falha em seis campos estruturados; um conjunto fixo de regras classifica hipóteses a testar - com as evidências a coletar, o que sustentaria cada uma e o que a enfraqueceria. Estrutura consultiva, nunca um diagnóstico.

Redes

  • Calculadora CIDR / de sub-redesDecomponha qualquer bloco CIDR de IPv4 em endereços de rede e de broadcast, faixa de hosts utilizáveis, contagem de hosts e máscara de rede. Roda inteiramente no seu navegador.
  • Decodificador + codificador de PRI syslogDecodifique um PRI de syslog como 134 em sua facility e severity, ou codifique-os de volta, tudo no seu navegador.
  • Domínio registrado (eTLD+1)Descubra o sufixo público (eTLD) e o domínio registrado (eTLD+1) de qualquer nome de host, usando a Public Suffix List.
  • explicador de saída do digCole a saída real do dig e obtenha um detalhamento decodificado e explicado: o cabeçalho e as flags, a pseudo-seção OPT do EDNS, cada registro em cada seção e as estatísticas da consulta. Analisado inteiramente no seu navegador, nada é resolvido nem enviado a lugar algum.
  • explicador de saída do nslookupCole a saída real do nslookup e obtenha um detalhamento decodificado e explicado: o resolvedor usado, se a resposta é autoritativa, cada registro (com breakdown de campos de MX / SRV / SOA) e quaisquer falhas. Analisado inteiramente no seu navegador, nada é resolvido nem enviado a lugar algum.
  • Kit de ferramentas IPv6Analise um endereço ou prefixo IPv6 para ver suas formas canônica (RFC 5952) e totalmente expandida, sua classificação de uso especial, a aritmética de prefixo, um MAC EUI-64 se presente e seu nome de DNS reverso ip6.arpa. Roda inteiramente no seu navegador.

Segurança e WAF

  • Analisador de Cabeçalhos de SegurançaCole uma resposta HTTP e veja uma análise com nota dos cabeçalhos de segurança, flags de cookies e política de origem cruzada, verificada contra OWASP, RFC 6797, CSP Level 3 e RFC 6265bis.
  • Classificador de URL para SSRFCole uma URL e veja para onde ela realmente aponta: loopback, uma faixa privada ou link-local, um endpoint de metadados de nuvem, CGNAT, espaço reservado ou a internet pública. Ofuscação de IP em decimal, octal e hexadecimal é decodificada, esquemas perigosos e credenciais embutidas são sinalizados, e um nível de risco de SSRF é exibido. Nunca resolve DNS e nunca envia a requisição.
  • Decodificador de vetor CVSSCole um vetor CVSS v3.1 ou v3.0 e veja a pontuação calculada e mapeada para uma severidade, com cada métrica explicada. Local e offline; nada é enviado a lugar nenhum.
  • Decodificador XMLCole XML e leia sua estrutura: a declaração, o DOCTYPE e quaisquer entidades, a árvore de elementos com namespaces e atributos, mais uma verificação de segurança da superfície de ataque XML. Nada é buscado ou resolvido.

Texto e utilitários

  • Diff de textoCompare dois blocos de texto e veja exatamente o que mudou, linha a linha, com destaque em nível de palavra nas linhas editadas. Opcionalmente, ignore espaços em branco ou maiúsculas e minúsculas. Tudo é calculado no seu navegador; seu texto nunca é enviado a lugar nenhum.

TLS e transporte

  • Decodificador de suítes de cifraInforme uma suíte de cifra TLS, como nome IANA, nome OpenSSL ou GnuTLS, ou um ponto de código hexadecimal, para destrinchá-la em troca de chaves, autenticação, cifra, modo e MAC, com uma leitura de segurança em linguagem clara e a recomendação oficial da IANA. Roda inteiramente no seu navegador contra uma cópia embutida do registro da IANA.

Web e HTTP

  • Construtor de comandos curlEscolha qualquer um dos 27 protocolos que o curl fala, preencha campos que se adaptam ao protocolo e receba o comando exato, com cada flag explicada e avisos de segurança. O inverso do tradutor de requisições HTTP: aquele lê um comando, este escreve um.
  • Inspetor de URLDisseca qualquer URL em suas partes nomeadas: esquema, host, porta, caminho, parâmetros de query e fragmento. Decodifica escapes percent e hosts internacionalizados, e sinaliza credenciais e outros problemas. Roda inteiramente no seu navegador.
  • Kit de RegexTeste, explique e depure expressões regulares com correspondências ao vivo e verificação de risco de backtracking.
  • Tradutor de requisições HTTPCole um comando curl e veja-o explicado sinalizador por sinalizador, depois traduzido para fetch, uma requisição HTTP crua, HTTPie e Python requests. Local e offline; o comando é decodificado no seu navegador e nada é enviado ou executado.

Sugestões de uso

Tarefas comuns e as ferramentas que as resolvem. Siga as ferramentas na ordem indicada para cada tarefa.

Inspecionar um token recebido

Decodifique um JSON Web Token para ler suas claims e, depois, decodifique quaisquer campos em Base64 dentro dele.

  1. Decodificador e verificador de JWT
  2. Códec Base64, Base32, Hex e Porcentual

Planejar uma sub-rede IP

Calcule faixas de rede, máscaras e número de hosts em IPv4 e faça o mesmo para IPv6.

  1. Calculadora CIDR / de sub-redes
  2. Kit de ferramentas IPv6

Trabalhar com um certificado TLS

Decodifique um certificado para ver seus campos, verifique uma solicitação de assinatura e planeje a data de renovação.

  1. Decodificador de certificados X.509
  2. Decodificador de CSR
  3. Planejador de renovação de certificados

Configurar login em um aplicativo

Entenda um fluxo OpenID Connect, adicione PKCE para um cliente público e inclua um segundo fator com senha de uso único.

  1. Decodificador OIDC
  2. Verificador e challenge de OAuth PKCE
  3. Gerador e validador TOTP / HOTP

Ler uma resposta de DNS

Interprete a saída do dig e a do nslookup, linha por linha.

  1. explicador de saída do dig
  2. explicador de saída do nslookup

Verificar a integridade dos dados

Calcule o hash de um dado ou um HMAC quando houver um segredo compartilhado.

  1. Gerador de hash (SHA-1/256/384/512)
  2. Gerador de HMAC (SHA-256/384/512)

Depurar um login SAML (SSO)

Decodifique uma resposta SAML para ler suas asserções e condições e, em seguida, inspecione o certificado X.509 que a assinou.

  1. Decodificador SAML
  2. Decodificador de certificados X.509

Associar um token à sua chave de assinatura

Leia um conjunto de chaves JWKS para ver as chaves publicadas e, em seguida, decodifique um JSON Web Token para encontrar a chave que o assinou.

  1. Explicador de JWKS + correspondência de chaves
  2. Decodificador e verificador de JWT

Entender uma conexão TLS

Decodifique a suíte de cifras negociada, inspecione o certificado do servidor e revise os cabeçalhos de segurança da resposta.

  1. Decodificador de suítes de cifra
  2. Decodificador de certificados X.509
  3. Analisador de Cabeçalhos de Segurança

Reforçar a segurança de uma resposta web

Audite os cabeçalhos de segurança HTTP de um site e, em seguida, inspecione a URL que esses cabeçalhos protegem.

  1. Analisador de Cabeçalhos de Segurança
  2. Inspetor de URL

Avaliar o risco de SSRF em uma URL

Classifique se uma URL pode alcançar um alvo interno e, em seguida, inspecione suas partes em detalhe.

  1. Classificador de URL para SSRF
  2. Inspetor de URL

Pontuar uma vulnerabilidade

Decodifique uma string de vetor CVSS em suas métricas para entender o quão grave é uma descoberta.

  1. Decodificador de vetor CVSS

Converter e organizar uma configuração

Converta uma configuração entre JSON e YAML e, em seguida, formate o resultado para que fique fácil de ler.

  1. Conversor JSON ↔ YAML
  2. Formatador e Validador JSON

Comparar dois arquivos

Normalize dois blocos JSON com o formatador e, em seguida, compare-os para ver exatamente o que mudou.

  1. Formatador e Validador JSON
  2. Diff de texto

Reproduzir uma requisição HTTP

Divida uma URL em suas partes e, em seguida, traduza a chamada para curl, fetch ou outro cliente.

  1. Inspetor de URL
  2. Tradutor de requisições HTTP

Identificar um hash desconhecido

Pesquise um digest em relação a valores conhecidos e, em seguida, recalcule um hash para confirmar a correspondência.

  1. Localizador de Pré-imagem de Hash
  2. Gerador de hash (SHA-1/256/384/512)

Ler uma linha de syslog

Decodifique um valor PRI de syslog em sua facility e severidade.

  1. Decodificador + codificador de PRI syslog

Criar e testar uma regex

Escreva uma expressão regular e teste-a com texto de exemplo conforme avança.

  1. Kit de Regex

Manual

Usando uma ferramenta

Abra qualquer ferramenta, cole ou digite sua entrada e o resultado aparece na hora. Não há login nem nada para instalar. A maioria das ferramentas traz um botão Exemplo, que preenche uma entrada de amostra, e um botão Limpar, que zera os campos. Abaixo de cada ferramenta há artigos do Aprenda que explicam o conceito por trás dela.

Privacidade e temas

As ferramentas rodam inteiramente no seu navegador, então os dados que você digita não são transmitidos a lugar nenhum por padrão. A escolha de tema é lembrada apenas no seu dispositivo. O idioma fica no endereço da página, e não é armazenado. A página de Privacidade explica exatamente o que é e o que não é guardado.

A API

A lógica de cada ferramenta também é documentada como uma API, com uma especificação legível por máquina disponível na página da API. A API é documentada como referência; se as requisições são atendidas depende da configuração atual do site, o que a página da API informa com clareza.

Idiomas

A interface está disponível em vários idiomas; troque pelo controle de idioma no cabeçalho. Inglês e português do Brasil são escritos diretamente. Quando uma frase ainda não foi traduzida para um idioma, o texto em inglês é exibido nessa frase, de modo que nada fique faltando.

Uso offline

O site é um progressive web app. Depois da primeira visita, o navegador pode mantê-lo disponível e, como as ferramentas calculam localmente, elas continuam funcionando sem conexão. Você pode adicionar o site à tela inicial ou à área de trabalho como um aplicativo.

Código e licença

O projeto é de código aberto. O código é licenciado sob Apache 2.0 e o conteúdo escrito sob CC BY 4.0. Você pode ler o código, relatar um problema ou sugerir uma ferramenta pelo repositório, que fica no rodapé e na página de Licença.