La plupart des apps lancées vite ont une faille invisible qui expose leurs utilisateurs. Colle ton adresse : en 30 secondes tu sais si tu es tranquille, ou exactement quoi corriger. Gratuit, sans inscription.
Pas de dépôt à connecter, pas de configuration. Juste l'adresse de ton app en ligne.
On regarde ton app de l'extérieur, comme un visiteur : secrets exposés, base de données, réglages de sécurité.
Un score, un verdict GO ou NO-GO, et pour chaque problème un correctif prêt à coller dans ton outil IA.
Ta clé Stripe, OpenAI ou ta base de données visibles dans le code public de ton app. La fuite la plus courante des apps faites vite avec l'IA, et la plus grave.
Preuve masquée : sk_liv••••••emo
N'importe qui pourrait facturer en ton nom ou lire tes paiements.
On teste si n'importe qui peut lire les données de tes utilisateurs sans compte. Supabase et Firebase inclus, après une simple preuve que tu es le propriétaire.
Ta table users renvoie 1 240 lignes à un visiteur non connecté. Ta sécurité au niveau des lignes ne protège pas cette table.
Pour chaque problème, un prompt de correction que tu copies et colles dans Cursor, Lovable ou Claude. Tu sais quoi faire, pas juste qu'il y a un problème.
Révoque cette clé dans Stripe, crée-en une nouvelle, et utilise-la uniquement côté serveur. Vérifie qu'aucune clé secrète ne reste dans le code envoyé au navigateur.
Pas un pavé technique illisible. Un score, un verdict clair, chaque problème expliqué en français simple avec un correctif prêt à coller.
Colle ton URL, obtiens ton verdict.
Le détail et comment tout corriger.
Oui, surtout pour toi. Tu colles ton URL, tu obtiens un verdict clair et des correctifs à coller dans ton outil IA. Aucune compétence en sécurité requise.
Non, et on est honnêtes là-dessus. C'est un scan externe qui attrape les erreurs visibles les plus fréquentes : secrets exposés, base de données mal protégée, en-têtes. Ça évite la grosse erreur honteuse avant de lancer, ça ne remplace pas un pentest.
Non. On regarde ce qui est déjà public, on ne récupère jamais tes données, et on ne stocke aucune clé complète. Une clé détectée est affichée masquée.
On ne teste ta base qu'après que tu aies prouvé que tu es le propriétaire (une simple balise à ajouter). Et on lit uniquement un nombre de lignes, jamais leur contenu.
Le scan et le verdict sont gratuits. Tu ne paies que si tu veux le rapport complet avec le détail et les correctifs : 9 € une fois (prix de lancement, au lieu de 19 €).
Le feu vert avant le lancement, ou la liste exacte de ce qu'il faut corriger d'abord. En 30 secondes.