Sécurité et e-mail 1 Points de terminaison 4 Fonctionnalités clés

API de Analyseur de vulnérabilités de sites web

Rapprochez les versions vérifiées de technologies publiques des avis de paquets faisant autorité, des exploitations connues et de la probabilité d’exploitation. DomScan sépare les versions affectées, les mauvaises configurations de sécurité et les zones non couvertes afin que les équipes corrigent d’abord les constats les plus solides.

Catégorie Sécurité et e-mail
Points de terminaison 1
Fonctionnalités clés 4
Foire aux questions 4

Signaux de confiance avant intégration

Une documentation transparente, des requêtes authentifiées et des détails de fiabilité visibles facilitent l’évaluation de DomScan avant mise en production.

En direct État du service

Vérifiez l’état du service en direct et les réponses d’échec documentées avant de procéder à l’intégration.

OpenAPI Artefacts API

OpenAPI, Swagger, Postman, CLI, SDK et liens MCP sont accessibles en un clic.

Clés API Accès protégé

Les endpoints authentifiés utilisent des clés API avec des coûts en crédits clairs avant l’appel.

10,000 Quota gratuit

Commencez avec 10 000 crédits mensuels et passez à l’offre supérieure seulement quand l’usage augmente.

Ce que cette API vous aide à livrer

Utilisez cette page comme brief de production : endpoints, exemples, structure de réponse et éléments de workflow pour intégrer DomScan à votre produit.

Workflows produit

Intégrez vérifications de domaines, intelligence DNS, signaux de risque ou enrichissement dans l’onboarding, la recherche et les outils internes.

Automatisation analyste

Remplacez les recherches manuelles répétées par des tâches planifiées, des alertes et des étapes d’enquête reproductibles.

Données JSON propres

Utilisez des champs prévisibles, des codes d’état documentés et des coûts en crédits au lieu de scraper des pages fournisseur.

IA et opérations

Alimentez agents, tableaux de bord, playbooks SOAR et CRMs via OpenAPI, SDK, Postman ou MCP.

Flux d’intégration

Un parcours simple de la première requête à un usage répétable en production.

1
Authentifier une fois

Envoyez votre clé API avec l’en-tête documenté et gardez des requêtes cohérentes entre services.

2
Interroger avec les exemples

Commencez par les exemples curl et HTTP, puis mappez les paramètres dans le code de votre application.

3
Exploiter et surveiller

Utilisez codes d’état, coûts en crédits et champs de réponse pour construire retries, logs et alertes.

Kit développeur

Passez de cette page aux docs lisibles par machine, collections de requêtes, SDKs ou outils d’agents.

Carte des paramètres et réponses

Parcourez les entrées, champs de sortie et codes d’état avant de connecter l’endpoint à votre client.

Paramètres de requête

Paramètre

urldomainmode
Champs de réponse

Exemple de Réponse

scanscan.modescan.statussummarysummary.posturesummary.risk_levelsummary.finding_countsummary.version_affected_countsummary.misconfiguration_countfindingscoveragecoverage.package_advisories
Couverture des statuts

Codes de Statut HTTP

200400401402429500502503504

Points de terminaison

GET /v1/vulnerabilities
Crédits: 8-12Authentification: Authentification requise
urldomainmode

Signaux de confiance avant intégration

Une documentation transparente, des requêtes authentifiées et des détails de fiabilité visibles facilitent l’évaluation de DomScan avant mise en production.

État du service Artefacts API

OpenAPI, Swagger, Postman, CLI, SDK et liens MCP sont accessibles en un clic.

Clés API Accès protégé

Les endpoints authentifiés utilisent des clés API avec des coûts en crédits clairs avant l’appel.

Quota gratuit Inscrivez-vous Gratuitement

Commencez avec 10 000 crédits mensuels et passez à l’offre supérieure seulement quand l’usage augmente.

Actif Exemple de Requête

Commencez par les exemples curl et HTTP, puis mappez les paramètres dans le code de votre application.

Fonctionnalités clés

Preuves de version exacte

Seules les correspondances validées entre technologies et paquets, associées à des versions observées compatibles, sont interrogées dans OSV.

Priorisation avec KEV et EPSS

CISA KEV place l’exploitation confirmée au-dessus de la probabilité, tandis que FIRST EPSS apporte un contexte quotidien sur les menaces.

Lacunes de couverture explicites

Chaque source et chaque étape de l’analyse indique un état contrôlé, partiel, en échec ou non demandé.

Instantané passif et sûr

Le point de terminaison public inspecte des réponses publiques normales et un rendu isolé sans charge utile d’exploitation.

Exemple de Requête

GET /v1/vulnerabilities bash
curl -H "X-API-Key: $DOMSCAN_API_KEY" "https://domscan.net/v1/vulnerabilities?domain=example.com&mode=standard"

Exemple de Réponse

200 OK json
{
  "scan": {
    "mode": "standard",
    "status": "complete"
  },
  "summary": {
    "posture": "review",
    "risk_level": "high",
    "finding_count": 2,
    "version_affected_count": 1,
    "misconfiguration_count": 1
  },
  "findings": [{
    "classification": "version_affected",
    "severity": "high",
    "priority": "urgent",
    "component": {
      "name": "jQuery",
      "detected_version": "3.4.1",
      "purl": "pkg:npm/jquery@3.4.1"
    },
    "advisory": {
      "id": "GHSA-gxr4-xjj5-5px2",
      "cves": ["CVE-2020-11022"],
      "fixed_versions": ["3.5.0"]
    },
    "exploitation": {
      "cisa_kev": true,
      "epss_probability": 0.99019
    }
  }],
  "coverage": {
    "package_advisories": "checked",
    "known_exploitation": "checked",
    "exploitation_probability": "checked",
    "relay_used": false
  }
}

Foire aux questions

Que contrôle l’analyseur ?

Il contrôle les versions technologiques exposées, les correspondances exactes avec les avis OSV, le catalogue CISA des vulnérabilités connues comme exploitées, les valeurs FIRST EPSS et les protections déterministes des en-têtes de réponse.

Une correspondance de version prouve-t-elle une exploitation ?

Non. Elle signifie qu’une version exposée figure dans une plage affectée faisant autorité. DomScan ne prétend pas qu’il y a eu exploitation, sauf si un futur contrôle de vérification autorisé démontre ce comportement.

Quelles sources de données sont utilisées ?

L’analyseur utilise OSV, le catalogue CISA des vulnérabilités connues comme exploitées, FIRST EPSS et les preuves issues des réponses publiques en direct. Toutes les sources utilisées à l’exécution n’entraînent aucun coût de données supplémentaire.

Qu’apporte le mode approfondi ?

Le mode approfondi ajoute une page isolée rendue avec JavaScript par DomScan Edge Relay, ce qui peut révéler des preuves technologiques à l’exécution absentes d’une réponse de base.

Outils et Ressources Connexes

Codes de Statut HTTP

Nous documentons les codes d'état HTTP que votre client doit gérer afin de distinguer les réponses réussies, les problèmes d'authentification, les crédits, les limites de débit, les données introuvables et les erreurs en amont.

OK 200

Requête réussie

Requête incorrecte 400

Paramètres invalides

Non autorisé 401

Clé API ou session manquante ou invalide.

Paiement requis 402

Crédits insuffisants pour exécuter cette requête.

Trop de requêtes 429

Limite de débit dépassée

Erreur serveur 500

Erreur interne

Mauvaise passerelle 502

Erreur RDAP en amont

Service indisponible 503

Le service amont est indisponible ou limite temporairement les requêtes.

Délai d’attente de la passerelle dépassé 504

La requête amont a expiré.

Analyser un site web à la recherche de vulnérabilités