Atualizações

Changelog

Novidades, melhorias e correções da plataforma CarameloSec.

Q2 2026

#3 Checkers de cookies 3 Mai 2026
Novo

Adicionamos um conjunto de checkers dedicados à análise de cookies de sessão. O motor agora identifica cookies sem as flags de segurança obrigatórias e classifica cada achado por severidade com evidências diretas da resposta HTTP.

  • Flag Secure ausente — cookie transmitido em texto claro por conexões não-HTTPS.
  • Flag HttpOnly ausente — cookie acessível via JavaScript, exposto a ataques de XSS.
  • Flag SameSite ausente ou permissiva — cookie enviado em requisições cross-site, facilitando CSRF.
  • Escopo excessivo — cookies com Domain abrangendo subdomínios desnecessariamente.
#2 Checkers de arquivos vazados Abr 2026
Novo

Novos checkers para detecção de arquivos e rotas sensíveis acessíveis publicamente. O motor tenta uma lista curada de caminhos comuns e reporta qualquer exposição com severidade e resposta HTTP como evidência.

  • .env exposto — arquivo de variáveis de ambiente acessível via browser, podendo conter credenciais e secrets.
  • .git exposto — diretório de controle de versão acessível, permitindo reconstrução do código-fonte.
  • robots.txt com rotas de admin — paths sensíveis listados explicitamente no arquivo de crawlers.
  • Endpoints de debug ativos — rotas como /debug, /phpinfo, /server-status respondendo em produção.
  • Backups e arquivos de configuração — arquivos .bak, config.php~, wp-config.php e similares expostos.

Q1 2026

#1 Lançamento oficial da plataforma CarameloSec 13 Mar 2026
Lançamento

Lançamento público da CarameloSec — plataforma de diagnóstico de segurança para aplicações web. Sem instalação de agente, sem configuração prévia: cole a URL e receba um relatório completo em minutos.

  • Motor de scan — análise de headers HTTP, cookies, TLS, CORS, arquivos sensíveis expostos e configurações críticas.
  • 30+ checkers — verificações categorizadas por área (HSTS, CSP, CORS, Headers, TLS, Exposição de arquivos etc.) com severidade e evidências detalhadas.
  • Nota de segurança A–F — pontuação calculada com base na porcentagem de checks aprovados no scan.
  • Dog Mode — ambiente de exploração gratuito que permite simular análises sem gastar créditos.
  • Sistema de créditos — 1 crédito por scan completo, disponível via assinatura mensal (R$39,90/mês) ou compra avulsa (R$39,90, sem expiração).
  • Autorização por token — comprovação de propriedade de domínio via registro DNS ou arquivo de verificação.