BENBO
    Säkerhet

    Bygga DaemonScan: 28 säkerhetsskanners för moderna webbappar

    Reda Ekengren·2026-04-25·8 min
    Bygga DaemonScan: 28 säkerhetsskanners för moderna webbappar

    Manuell pentesting kostar 50-150 000 kr per revision. För svenska SaaS-startups är det orimligt att betala det innan första kunden, vilket betyder att 9 av 10 startups deployar utan säkerhetsverifiering överhuvudtaget.

    Jag byggde DaemonScan för att fixa det. 28 skanners, 3 scan-typer, AI-assisterade fix-förslag och GitHub/GitLab auto-PR. Från $0 (free tier) till $129/månad. Här är hur det är byggt och vilka tekniska val som ligger bakom.

    Problemet

    Klassisk pentesting har tre distributionsproblem:

    1. Pris: 50-150k SEK per revision = stoppar startups från att kolla
    2. Frekvens: Manuella tester körs 1-2 ggr/år = missar regressions
    3. Expertis-tröskel: ZAP och Burp är kraftfulla men kräver expertkonfiguration

    För att verkligen lösa det här behövde jag bygga något som körs på sekunder, kostar mindre än Netflix, fungerar out-of-the-box utan säkerhets-PhD och kan triggas efter varje deploy via CI/CD.

    Tekniska beslut

    Stack

    Frontend: React 18 + Vite + TypeScript + Tailwind + shadcn/ui + TanStack Query. Backend: FastAPI (Python 3.12) + SQLAlchemy 2.0 (async) + PostgreSQL + Celery + Redis. Hosting: frontend på GitHub Pages, backend på Railway. Push till main auto-deployar båda.

    Varför inte bara wrappa OWASP ZAP?

    ZAP är industristandard, men har problem för SaaS-distribution. Det är CLI/GUI-baserat och svårt att exposa som API utan stora wrappers. Java-baserat och tungt att dra in i FastAPI/Python-stack. Generic och matchar inte modern auth-flöden (JWT, OAuth2) out of the box. HTML/XML-output är inte React-vänlig.

    Jag byggde mina egna scanners istället för specifika moderna tech-patterns. 137 XSS-payloads, 105 SQLi-payloads, native Playwright för SPA-rendering. Det betyder mer underhållsarbete för mig, men kontroll över exakt vad som körs.

    Tre scan-typer för olika use-cases

    Quick (~30s) för CI/CD efter varje deploy. Standard (~3 min) för dagliga schemalagda scans. Deep (~5 min) för veckovis djupanalys med ports och subdomains.

    Skanningsmoduler

    DaemonScan kör 28 separata moduler indelade i sex kategorier:

    Network/Infra: Headers (HSTS, CSP, CORS, X-Frame-Options), SSL/TLS (certificate, protocols, cipher suites), Ports (100 vanligaste), Subdomains (crt.sh + DNS enumeration).

    Web app: XSS (137 payloads, både stored och reflected), SQLi (105 payloads, time/boolean/error-based), CSRF + token-validering, IDOR + path traversal, SSRF, DOM XSS (source-to-sink-analys).

    Modern app: JavaScript SPA-rendering med Playwright, Client Secrets (hardcoded secrets i JS-bundles), Param Discovery (hidden params, backup-filer).

    API: API Discovery (OpenAPI/Swagger, GraphQL), GraphQL introspection + depth-limits, API Auth (JWT vulns, rate limiting), BOLA via ID enumeration, Mass Assignment.

    CMS-specifikt: WordPress, Drupal, Joomla scanners.

    Filer: Exponerade .git, .env, .DS_Store och 50 andra känsliga paths. Directory enumeration med 500+ paths.

    Det som gör DaemonScan mer än "ännu en scanner"

    AI-assisterad remediation

    När scannern hittar ett problem genererar Claude framework-specifika fix-förslag. Inte bara "lägg till CSP-header" utan exakt syntax för Express, FastAPI, Django, Next.js, Laravel och fler.

    AutoFix Pull Requests

    Ett klick: Claude genererar fix, PR till ditt GitHub/GitLab repo. Du reviewar och mergear. Säkerhetsfixes har samma DX som dependabot.

    CI/CD-integration

    GitHub Actions, GitLab CI, Jenkins, SARIF-export. Säkerhet blir en del av pipeline, inte en kvartalsvis aktivitet.

    Compliance-rapporter

    Branded PDF med OWASP Top 10-mappning + PCI-DSS, SOC 2, ISO 27001. För startups som behöver bevisa säkerhetsarbete för enterprise-kunder.

    Pricing-filosofi

    Manuell pentest: 50-150k. DaemonScan från $0 till $129/mo. Free-tiern (1 domän, 3 scans/mån) är inte en demo, den är användbar för en solo-dev med ett MVP. Starter ($39/mo, 10 domäner, 200 scans) passar småbyråer som scannar klientsajter. Pro ($129/mo, obegränsat) är för SaaS-team som vill scannera per-PR.

    Lessons learned

    OWASP rapporterar att 80% av sårbarheter är konfigurations-fel, inte 0-days. En scanner som fångar de 80% är värdefull även om den inte ersätter manuell expertise för de sista 20%.

    Distribution slår teknisk djup. ZAP är tekniskt mer kraftfullt än DaemonScan, men körs av 0,1% av startups. En enklare scanner som faktiskt körs av 100% av sina kunder vinner.

    AI förändrar produktiviteten dramatiskt. Claude AI gör att en solo-dev kan generera framework-specifika fix-förslag som annars skulle krävt en separat security-engineer.

    Bygg för CI/CD från dag 1. Säkerhet som inte kan automatiseras körs aldrig. Säkerhet som körs efter varje commit gör att problem fångas innan de når produktion.

    Vill du testa DaemonScan?

    Free tier på daemonscan.com: 3 scans/månad, inget kreditkort. Eller boka en konsultation för en custom-scan av din SaaS: reda@benbo.se.

    Relaterade artiklar

    Webbutveckling

    Varför jag valde React framför WordPress

    2026-02-10 · 5 min

    Teknik

    SEO för utvecklare: En praktisk guide

    2026-01-25 · 5 min

    Vill du diskutera det här? Hör av dig.

    Kontakta mig
    WhatsApp