Planejamento & escopo
Definição de alvos, perfis (black/grey/white box), janelas de teste e objetivos de negócio.
Ataque • Pentest Web & API
Pentest profissional em aplicações Web e APIs REST/GraphQL
Pentest profissional em aplicações Web e APIs REST/GraphQL
além do OWASP Top 10.
Testes manuais guiados por padrões (OWASP, NIST, PTES) para encontrar falhas reais de lógica de negócio, autenticação, autorização, criptografia e exposição de dados. Relatório acionável, priorização por risco e reteste incluso.
+28projetos realizados
+500falhas identificadas
+21empresas protegidas
+3países atendidos
Cobertura de Web e APIs (REST/SOAP/GraphQL). Abordagens black/grey/white box conforme seu objetivo.
Descubra o que scanners não veem
Executamos um teste de intrusão sob medida, manual e criterioso, apoiado por ferramentas e scripts próprios. Vamos além do OWASP Top 10 para avaliar lógica de negócio, fluxos de autenticação/autorização, exposição de dados e controles operacionais. O resultado é um mapa realista de risco com evidências claras e recomendações aplicáveis.
- Priorização por risco (CVSS/impacto no negócio).
- Evidências reproduzíveis (requisições, PoC, prints).
- Correções recomendadas e referências.
- Re-teste incluso para validar correções críticas.
Padrões & conformidade
Nossos testes consideram diretrizes e boas práticas de segurança amplamente reconhecidas.
Escopo típico no Pentest Web & API
O escopo é ajustado ao seu ambiente, mas normalmente inclui:
Autenticação & sessões
MFA/2FA, recuperação de senha, gestão de sessão, brute force, lockout, token hijacking.
Autorização & controle de acesso
IDOR/BOLA, ABAC/RBAC, escopo de tokens, troca de roles, vertical/hoComo conduzimos o testerizontal privilege escalation.
Injeções & execução
SQL/NoSQL injection, template injection, command injection, SSTI, deserialização insegura.
Exposição de dados
Dados sensíveis em trânsito/repouso, GraphQL introspection, verbose errors, metadata leaks.
Front-end & navegador
XSS (refletido/armazenado/DOM), CSRF, CORS, CSP, cliquejacking, supply chain (libs).
APIs REST/GraphQL
Esquema, rate limiting, mass assignment, query batching, segurança de endpoints e métodos.
Como conduzimos o teste
Processo inspirado em OWASP, NIST e PTES — prático e orientado a resultados.
Recon e mapeamento
Enumeração de superfícies, descoberta de endpoints, perfis de usuário, permissões e fluxos.
Exploração manual
Testes manuais com apoio de ferramentas, validação de impacto e encadeamento de falhas.
Relatório & debrief
Evidências, classificação por risco, plano de correção e sessão executiva/tech de apresentação.
Re-teste incluso
Validação das correções críticas sem custo adicional dentro da janela acordada.
O que você recebe
- Relatório executivo (resumo para gestão, impactos e riscos priorizados).
- Relatório técnico com evidências, PoCs e passos de reprodução.
- Recomendações práticas com referências (OWASP/NIST/CWE).
- Debrief técnico + executivo com Q&A.
- Re-teste para confirmar as correções críticas.
Pronto para começar?
Conte seu contexto (stack, auth, integrações, APIs) e montamos um escopo sob medida.
Perguntas frequentes
Quais abordagens vocês usam?
Trabalhamos com black box (sem conhecimento prévio), grey box (acesso parcial) e white box (acesso amplo), conforme objetivo e maturidade de segurança.
Quanto tempo leva?
Depende do escopo e complexidade. Em média, de alguns dias a poucas semanas. Sempre propomos cronograma que minimize impacto no negócio.
Como é o relatório?
Evidências reproduzíveis, classificação por risco e plano de correção claro. Opcionalmente apresentamos os resultados para time técnico e gestão.
Há re-teste?
Sim. Incluímos re-teste das correções críticas dentro da janela combinada, para validar que o risco foi de fato mitigado.
Quais sistemas podem ser testados?
Aplicações Web públicas e internas e APIs (REST/SOAP/GraphQL), inclusive com diferentes perfis de usuário e jornadas críticas.
Metodologia?
Baseada em OWASP ASVS/API Security Top 10, NIST e PTES — continuamente atualizada para cobrir técnicas modernas de ataque.
Vamos fazer um Pentest na sua aplicação?
Atendimento 09:00–18:00 • Proposta em até 1 dia útil