Test de Penetración Shopify: Liquid SSTI, Seguridad Theme y App Proxy

Shopify alimenta miles de e-commerce españoles — boutiques fashion, marketplace B2B, marcas DTC. La plataforma es generalmente segura, pero temas personalizados, apps desarrolladas internamente, y Shopify Plus configuraciones custom exponen superficies de ataque específicas. Matproof Sentinel realiza pentests Shopify enfocados con reportes audit-ready RGPD / PCI-DSS desde 149 €.

Iniciar escaneo gratuito

Escrito por Malte Wagenbach

Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).

Última revisión: 17 de mayo de 2026

Por qué Shopify requiere competencias específicas de pentest

Shopify es la plataforma e-commerce dominante para el comercio digital español, con más de 175.000 merchants activos en Europa en 2024. Mientras Shopify gestiona la seguridad de infraestructura y payment processing (PCI-DSS Level 1), la responsabilidad por temas custom, apps desarrolladas por el merchant, y configuraciones Shopify Plus es del merchant. Liquid (template engine Shopify) es generalmente sandboxed, pero errores de implementación pueden permitir SSTI. CVE-2022-21664 (Shopify Marketplace) ha expuesto exploitable bug en validation de review submissions.

CVE-2022-21664 (Shopify Marketplace): exploitable bug en validation de review submissions.
Liquid SSTI: errores de implementación en temas custom pueden permitir SSTI mediante objetos Liquid con entrada usuario no sanitizada.
Theme XSS: theme.liquid con entrada usuario en query params, customer reviews/comments sin escape correcto.
App proxy abuse: custom apps con app proxy que no valida HMAC signature de Shopify.
Webhook signing: webhook endpoints custom que no verifican X-Shopify-Hmac-Sha256 header.
Shopify Plus scripts (Ruby): Shopify Scripts (deprecado 2024) puede tener aplicaciones legacy con lógica de pricing manipulable.
RGPD Art. 32 para customer data: Shopify gestiona mucho, pero data export via apps es responsabilidad del merchant.

Qué testeamos específicamente en un store Shopify

Theme.liquid audit: búsqueda Liquid SSTI patterns, XSS en customer reviews.
Theme customization permissions: settings_schema.json y settings_data.json para validation de input admin.
Custom apps: app proxy HMAC signature validation, webhook endpoints HMAC verification, OAuth scope minimization.
Storefront API: rate limiting, customer enumeration mediante GraphQL queries, exposed private metafields.
Checkout extensions: payment validation lado servidor, custom shipping calculators con input validation.
Shopify Functions: Function code review para lógica de pricing/discount/shipping manipulable.
GraphQL Admin API: query depth limiting, exposure de datos no necesarios, scope token analysis.
Webhooks reliability: idempotency check, signature verification, replay attack prevention.
Liquid template performance: búsqueda construcciones que pueden causar DoS.
PCI-DSS scope: verificación del SAQ scope correcto.

Ejemplo de hallazgo

Alto

App Proxy sin validation HMAC — forge de requests storefront

La app Shopify custom usa un app proxy para servir un mini-app interno via /apps/custom-config. El endpoint backend no valida la HMAC signature enviada por Shopify en el parameter signature URL. Un atacante puede enviar requests arbitrarias al endpoint backend fingiendo que provienen de Shopify storefront. El test permitió: (1) lectura de customer order history de otros usuarios; (2) injection de parameters admin; (3) potencial cross-customer data leakage.

Corrección: Acción inmediata: implementar validation HMAC signature en todos los endpoints app proxy. Acciones complementarias: rotar Shopify API secret si la no-validation estuvo en producción > 24h; audit log de últimos 90 días; rate limiting al nivel WAF; check de timing safe para evitar side-channel timing attacks.

Referencia: Shopify App Documentation - HMAC Validation · CWE-345 · OWASP A02:2021 · RGPD Art. 32(1)(b)

Pentest Shopify: opciones comparadas

—	Escaneo gratuito	Matproof Sentinel	Consultoría tradicional
Motor de escaneo automatizado	✓ (vista previa 3 min)	✓ Escaneo completo	✗ Solo manual
Cobertura OWASP Top 10	Parcial	✓ Completa	✓ Completa
Evidencia proof-of-exploit	✗	✓ Por hallazgo	✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)	✗	✓ Automatizado	✓ Manual
Informe PDF listo para auditoría	✗	✓ Inmediato	✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes	✗	✓ Por despliegue	✗ Encargo anual
Tiempo hasta el primer resultado	~3 min	~30 min escaneo completo	2–4 semanas
Precio	€0	Desde €149	€8.000–€25.000
Revisión de código fuente (SAST)	✗	✓ Plan Growth	✓ En alcance
Pruebas de API (REST/GraphQL)	✗	✓ Automatizado	✓ Manual

Paquetes Pentest Shopify

Escaneo único

€149 pago único

1 escaneo pentest completo
Hallazgos priorizados por IA con CVSS 3.1
Proof-of-exploit por hallazgo
Informe PDF listo para auditoría
Mapeo normativo (DORA, NIS2, ISO 27001)

Comprar escaneo único →

Recomendado

Starter

€299 / mes

Escaneos ilimitados (hasta 3 dominios)
Monitorización continua
Integración CI/CD (GitHub, GitLab)
Todos los mapeos normativos
Soporte prioritario

Iniciar Starter →

Growth

€799 / mes

Escaneos + dominios ilimitados
Pruebas autenticadas / White-Box
Pruebas de API e infraestructura cloud
Account manager de seguridad dedicado
SLA de respuesta en 24h

Contactar para Growth →

Preguntas frecuentes sobre el pentest Shopify

¿Shopify no gestiona ya toda la seguridad?

Shopify gestiona infraestructura y payment processing (PCI-DSS Level 1), pero la responsabilidad por temas custom, apps internas, e integraciones es del merchant.

¿Testean también apps instaladas desde Shopify App Store?

Para apps públicas del App Store (Shopify verifica), riesgo es bajo. Testeamos: apps private/development, apps custom de partners, apps menos populares.

¿Qué testean para Shopify Functions?

Shopify Functions (Rust-based, GA 2024) tiene su propia seguridad: input validation de Function logic, performance limits, business logic manipulable.

¿Podemos integrar Matproof en nuestro CI/CD para Shopify theme deployment?

Sí. Para Shopify CLI workflow: GitHub Actions integration en PR a main branch theme repository.

¿El pentest cubre conformidad PCI-DSS?

Shopify tiene PCI-DSS Level 1 certification. Si usa Shopify Payments, scope mínimo (SAQ-A). Si usa gateways alternativos (Redsys, ServiRed), scope se extiende.

¿Testean también Hydrogen (Shopify React framework)?

Sí. Hydrogen combina riesgos Next.js (CVE-2024-43481) con específicos Hydrogen: Storefront API token management, customer authentication.

¿Cuánto tiempo requiere un pentest Shopify completo?

45-60 minutos para Shopify standard, 90-120 minutos para Shopify Plus con custom apps.

¿El informe es aceptado para auditorías RGPD y security questionnaires de marketplaces?

Sí. El informe técnico proporciona evidencia para RGPD Art. 32. Para marketplaces que piden security questionnaires (Amazon Vendor Central, Privalia), responde directamente.

Temas relacionados

Profundiza — artículos relacionados del blog

Proteja su store Shopify ahora

Primer escaneo en 3 minutos, pentest Shopify completo en 45-90 minutos. Informe audit-ready RGPD / PCI-DSS desde 149 €.

Iniciar escaneo gratuito