Seguridad y correo electrónico 1 Endpoints 4 Características principales

API de Escáner de vulnerabilidades de sitios web

Correlaciona versiones verificadas de tecnologías públicas con avisos autorizados de paquetes, explotación conocida y probabilidad de explotación. DomScan mantiene separadas las versiones afectadas, las configuraciones de seguridad incorrectas y la cobertura desconocida para que los equipos corrijan primero las pruebas más sólidas.

Categoría Seguridad y correo electrónico
Endpoints 1
Características principales 4
Preguntas frecuentes 4

Señales de confianza antes de integrar

Documentación transparente, solicitudes autenticadas y detalles visibles de fiabilidad facilitan evaluar DomScan antes de publicar.

En directo Estado del servicio

Consulta el estado del servicio en directo y las respuestas de error documentadas antes de integrar la API.

OpenAPI Artefactos de API

OpenAPI, Swagger, Postman, CLI, SDK y enlaces MCP están a un clic.

Claves API Acceso protegido

Los endpoints autenticados usan claves API con costes de créditos claros antes de llamarlos.

10,000 Créditos gratuitos

Empieza con 10.000 créditos mensuales y actualiza solo cuando crezca el uso.

Qué te ayuda a lanzar esta API

Usa esta página como un resumen de producción: endpoints, ejemplos, forma de respuesta y piezas de flujo necesarias para integrar DomScan en tu producto.

Flujos de producto

Integra comprobaciones de dominios, inteligencia DNS, señales de riesgo o enriquecimiento en onboarding, búsqueda y herramientas internas.

Automatización de analistas

Sustituye consultas manuales repetidas por tareas programadas, alertas y pasos de investigación reproducibles.

Datos JSON limpios

Usa campos previsibles, códigos de estado documentados y costes de créditos en lugar de raspar páginas de proveedores.

IA y operaciones

Alimenta agentes, paneles, playbooks SOAR y CRMs mediante OpenAPI, SDK, Postman o MCP.

Flujo de integración

Un camino simple desde la primera solicitud hasta un uso repetible en producción.

1
Autentica una vez

Envía tu clave API con la cabecera documentada y mantén solicitudes coherentes entre servicios.

2
Consulta con ejemplos

Empieza con las muestras curl y HTTP, y luego mapea los parámetros en el código de tu aplicación.

3
Opera y monitoriza

Usa códigos de estado, costes de créditos y campos de respuesta para crear reintentos, logs y alertas.

Kit para desarrolladores

Salta desde esta página a documentación legible por máquinas, colecciones de solicitudes, SDKs o herramientas para agentes.

Mapa de parámetros y respuesta

Revisa entradas, campos de salida y códigos de estado antes de conectar el endpoint a tu cliente.

Parámetros de solicitud

Parámetro

urldomainmode
Campos de respuesta

Respuesta de ejemplo

scanscan.modescan.statussummarysummary.posturesummary.risk_levelsummary.finding_countsummary.version_affected_countsummary.misconfiguration_countfindingscoveragecoverage.package_advisories
Cobertura de estados

Códigos de estado HTTP

200400401402429500502503504

Endpoints

GET /v1/vulnerabilities
Créditos: 8-12Autenticación: Autenticación requerida
urldomainmode

Señales de confianza antes de integrar

Documentación transparente, solicitudes autenticadas y detalles visibles de fiabilidad facilitan evaluar DomScan antes de publicar.

Estado del servicio Artefactos de API

OpenAPI, Swagger, Postman, CLI, SDK y enlaces MCP están a un clic.

Claves API Acceso protegido

Los endpoints autenticados usan claves API con costes de créditos claros antes de llamarlos.

Créditos gratuitos Regístrate Gratis

Empieza con 10.000 créditos mensuales y actualiza solo cuando crezca el uso.

Activo Solicitud de ejemplo

Empieza con las muestras curl y HTTP, y luego mapea los parámetros en el código de tu aplicación.

Características principales

Pruebas de la versión exacta

Solo se consultan en OSV las asociaciones revisadas entre tecnologías y paquetes que tengan versiones observadas compatibles.

Priorización con KEV y EPSS

CISA KEV sitúa la explotación confirmada por encima de la probabilidad, mientras que FIRST EPSS aporta contexto diario sobre las amenazas.

Brechas de cobertura explícitas

Cada fuente y etapa del análisis indica si se ha comprobado, ha sido parcial, ha fallado o no se ha solicitado.

Instantánea pasiva y segura

El endpoint público inspecciona respuestas públicas normales y renderizados aislados sin cargas de explotación.

Solicitud de ejemplo

GET /v1/vulnerabilities bash
curl -H "X-API-Key: $DOMSCAN_API_KEY" "https://domscan.net/v1/vulnerabilities?domain=example.com&mode=standard"

Respuesta de ejemplo

200 OK json
{
  "scan": {
    "mode": "standard",
    "status": "complete"
  },
  "summary": {
    "posture": "review",
    "risk_level": "high",
    "finding_count": 2,
    "version_affected_count": 1,
    "misconfiguration_count": 1
  },
  "findings": [{
    "classification": "version_affected",
    "severity": "high",
    "priority": "urgent",
    "component": {
      "name": "jQuery",
      "detected_version": "3.4.1",
      "purl": "pkg:npm/jquery@3.4.1"
    },
    "advisory": {
      "id": "GHSA-gxr4-xjj5-5px2",
      "cves": ["CVE-2020-11022"],
      "fixed_versions": ["3.5.0"]
    },
    "exploitation": {
      "cisa_kev": true,
      "epss_probability": 0.99019
    }
  }],
  "coverage": {
    "package_advisories": "checked",
    "known_exploitation": "checked",
    "exploitation_probability": "checked",
    "relay_used": false
  }
}

Preguntas frecuentes

¿Qué comprueba el escáner?

Comprueba las versiones de tecnologías expuestas, las coincidencias exactas con avisos de OSV, el catálogo de vulnerabilidades explotadas conocidas de CISA, los valores de FIRST EPSS y las protecciones deterministas de las cabeceras de respuesta.

¿Una coincidencia de versión demuestra que hubo explotación?

No. Significa que una versión expuesta figura en un rango afectado autorizado. DomScan no afirma que haya habido explotación salvo que una futura comprobación autorizada demuestre ese comportamiento.

¿Qué fuentes de datos se utilizan?

El escáner utiliza OSV, el catálogo de vulnerabilidades explotadas conocidas de CISA, FIRST EPSS y pruebas obtenidas de respuestas públicas en directo. Todas las fuentes operativas tienen un coste de datos incremental cero.

¿Qué añade el modo profundo?

El modo profundo añade una página aislada renderizada con JavaScript mediante DomScan Edge Relay, lo que puede revelar pruebas de tecnologías en tiempo de ejecución que una respuesta básica no detecta.

Herramientas y Recursos Relacionados

Códigos de estado HTTP

Documentamos los códigos de estado HTTP que debes gestionar para distinguir respuestas correctas, problemas de autenticación o créditos, límites de frecuencia, datos inexistentes y fallos del servicio de origen.

OK 200

Solicitud correcta

Solicitud incorrecta 400

Parámetros no válidos

No autorizado 401

Clave de API o sesión ausente o no válida.

Pago requerido 402

No tienes créditos suficientes para ejecutar esta solicitud.

Demasiadas solicitudes 429

Límite de frecuencia superado

Error del servidor 500

Error interno

Puerta de enlace incorrecta 502

Error del servicio RDAP de origen

Servicio no disponible 503

El servicio ascendente no está disponible o está limitando temporalmente.

Tiempo de espera de la puerta de enlace agotado 504

La consulta al servicio de origen agotó el tiempo de espera.

Analizar un sitio web en busca de vulnerabilidades