Demo de Proteção Client-Side
Teste headers CSP, detecção de manipulação JavaScript e ataques estilo Magecart.
Status CSP
Desativado
Modo atual: off
— Alterar via variável de ambiente CSP_MODE=off|report|enforce
off
Sem header Content-Security-Policy (vulnerável)
report
CSP-Report-Only: reporta violações mas permite execução
enforce
Aplica CSP: bloqueia scripts/estilos não autorizados
Teste de Script Inline
Teste se a Content Security Policy do navegador bloqueia scripts inline injetados dinamicamente.
When CSP is off, o script injetado é executado e modifica o DOM. When CSP is enforce, o navegador bloqueia o script e registra uma violação.
Simulação Magecart / Skimmer
Skimmer AtivoSimula a injeção de um script malicioso de terceiros que rouba dados de pagamento.
Formulário de Pagamento Demo
Como funciona o Magecart
- Clique em "Injetar Skimmer" para carregar o script malicioso
- Insira dados falsos de cartão no formulário
- Clique fora de um campo (evento blur) para disparar a exfiltração
- Veja os dados capturados na seção "Dados Capturados"
- Configure CSP_MODE=enforce e tente novamente — o script deve ser bloqueado
Dados Capturados
Sem dados capturados ainda. Injete o skimmer e insira dados de cartão para ver a captura.
| Campo | Valor | Hora |
|---|
Relatórios de Violações CSP
No reports loaded. Click "Load Reports" to fetch CSP violation data.