Pular para o conteúdo
Especialista LV

Scanner de Vulnerabilidades Magento

Sonda caminhos conhecidos e headers de segurança da loja Magento em busca de arquivos sensíveis vazados, backdoors e versões com CVE crítico (CosmicSting, TrojanOrders). Passivo, só leitura — sem exploração.

100% gratuita, sem cadastro Não armazenamos logs do que você consulta Protegida por Cloudflare Turnstile

Sondamos caminhos conhecidos (backups, .git, env.php, phpinfo, webshells), headers de segurança e versão — só leitura, sem invadir.

Use apenas em lojas que você administra. O scan é passivo (somente GET, sem exploração).

Pare de testar na mão — monitore 24/7

Esta ferramenta é um retrato de agora. A Especialista Loja Virtual roda navegação real na sua loja a cada poucos minutos e te alerta no Discord, Slack ou e-mail com screenshot do problema. Comece grátis.

Criar conta grátis Ver planos

Como funciona o Scanner vulnerabilidades

Fazemos requisições GET passivas a caminhos conhecidos da sua loja (backups .sql, /.git/config, /app/etc/env.php, /phpinfo.php, nomes de webshell comuns, /media/index.php), lemos os headers de segurança da home e tentamos identificar a versão do Magento. Cada achado só é reportado quando a resposta tem o marcador de conteúdo correspondente — assim uma loja que devolve 200 para qualquer caminho (SPA/PWA) não vira falso-positivo.

O scan é não-intrusivo: somente leitura, nenhuma exploração de vulnerabilidade (nada de XXE, upload ou prova de conceito). CVEs críticos como CosmicSting (CVE-2024-34102) e TrojanOrders (CVE-2022-24086) entram apenas como correlação de versão e como detecção de artefatos já presentes (webshells). Use somente em lojas que você administra.

Perguntas frequentes

O que esse scanner verifica?

Arquivos sensíveis expostos (dumps de banco, .git, env.php/local.xml, phpinfo), backdoors/webshells com nomes conhecidos, /media/index.php executável, listagem de diretório, introspection de GraphQL, headers de segurança ausentes (CSP, HSTS, X-Frame-Options) e versão do Magento com vulnerabilidade crítica conhecida.

É invasivo? Posso usar em qualquer site?

Não é invasivo — fazemos apenas requisições GET a caminhos públicos, sem explorar nada. Ainda assim, use apenas em lojas que você administra: é uma ferramenta de auto-avaliação de segurança, não de teste em sites de terceiros.

O que é CosmicSting?

CosmicSting (CVE-2024-34102) é uma falha crítica de XXE em Magento/Adobe Commerce que, encadeada com a CVE-2024-2961, vira execução remota de código. Milhares de lojas foram comprometidas em 2024 — o atacante rouba o crypt key do env.php e injeta um skimmer. Versões anteriores a 2.4.7 são vulneráveis; atualize/aplique o patch.

Encontrou um problema. E agora?

Priorize os achados críticos: remova arquivos sensíveis do docroot, rotacione o crypt key e senhas, e procure backdoors. Se houver webshell ou versão muito desatualizada, trate a loja como possivelmente comprometida e rode também o scanner de Magecart para checar skimmer.

Referências oficiais

Fontes primárias usadas na construção desta ferramenta. Use-as para aprofundar ou validar os critérios técnicos.

Ferramentas relacionadas

Scanner Magecart

Verifica se a sua loja Magento tem skimmer de cartão (Magecart) — inclusive injetado via Google Tag Manager.

Abrir

Headers HTTP

Veja todos os headers HTTP que seu servidor envia — cache, segurança, compressão, cookies.

Abrir

Site está online?

Descubra em segundos se a sua loja virtual está fora do ar ou apresentando lentidão.

Abrir