Demo de Protección Client-Side
Prueba headers CSP, detección de manipulación JavaScript y ataques estilo Magecart.
Estado CSP
Desactivado
Modo actual: off
— Cambiar vía variable de entorno CSP_MODE=off|report|enforce
off
Sin header Content-Security-Policy (vulnerable)
report
CSP-Report-Only: reporta violaciones pero permite ejecución
enforce
Aplica CSP: bloquea scripts/estilos no autorizados
Prueba de Script Inline
Prueba si la Content Security Policy del navegador bloquea scripts inline inyectados dinámicamente.
When CSP is off, el script inyectado se ejecuta y modifica el DOM. When CSP is enforce, el navegador bloquea el script y registra una violación.
Simulación Magecart / Skimmer
Skimmer ActivoSimula la inyección de un script malicioso de terceros que roba datos de pago.
Formulario de Pago Demo
Cómo funciona Magecart
- Haz clic en "Inyectar Skimmer" para cargar el script malicioso
- Ingresa datos falsos de tarjeta en el formulario
- Haz clic fuera de un campo (evento blur) para disparar la exfiltración
- Revisa los datos capturados en la sección "Datos Capturados"
- Configura CSP_MODE=enforce y reintenta — el script debería ser bloqueado
Datos Capturados
Sin datos capturados aún. Inyecta el skimmer e ingresa datos de tarjeta para ver la captura.
| Campo | Valor | Hora |
|---|
Reportes de Violaciones CSP
No reports loaded. Click "Load Reports" to fetch CSP violation data.