1. Cabeçalhos de Segurança

Cabeçalhos HTTP são instruções que seu servidor envia ao navegador do usuário para ditar políticas de segurança. O Oraculum verifica a presença de três dos mais importantes:

• HTTP Strict-Transport-Security (HSTS): Força o navegador a se comunicar com seu servidor apenas através de conexões HTTPS seguras, prevenindo ataques de downgrade que tentam forçar uma conexão não criptografada.
• X-Frame-Options: Impede que seu site seja incorporado em um <iframe> em outro site. Isso é crucial para prevenir ataques de "clickjacking", onde um atacante sobrepõe uma interface invisível sobre seu site para enganar o usuário e fazê-lo clicar em botões maliciosos.
• Content-Security-Policy (CSP): É uma das defesas mais poderosas contra ataques de Cross-Site Scripting (XSS). O CSP permite que você defina uma lista de fontes confiáveis de onde o navegador pode carregar scripts, estilos, imagens, etc., bloqueando conteúdo de fontes não autorizadas.

2. Arquivos Sensíveis Expostos

Alguns arquivos nunca devem estar acessíveis publicamente na web. O Oraculum tenta ativamente acessar dois dos mais perigosos:

• Arquivo `.env`: Este arquivo é comumente usado para armazenar "variáveis de ambiente", que frequentemente incluem segredos como senhas de banco de dados e chaves de API de serviços. Sua exposição é uma falha de segurança catastrófica.
• Diretório `.git`: Em um deploy mal configurado, o diretório `.git` pode ficar exposto. Isso permite que um atacante baixe todo o histórico do seu código-fonte, incluindo versões antigas, branches de desenvolvimento e, potencialmente, segredos que foram commitados por engano.

Para cada um desses itens, o Oraculum faz uma requisição `fetch` real ao seu servidor. Se obtiver uma resposta bem-sucedida, ele imediatamente relata uma vulnerabilidade crítica, pois a exposição desses recursos representa um risco iminente e severo à segurança da sua aplicação.