← Security

Pentest e auditoria ofensiva

Pensamos como um atacante. Para não sofreres um.

Pentest web, mobile, API, cloud e infraestrutura. Metodologia OWASP e PTES, exploit comprovado, relatório CVSS, plano de remediação priorizado. Re-teste incluído.

Pedir orçamento pentest Ver a metodologia
  • OWASP Top 10 e ASVS
  • PTES e OSSTMM
  • Prova de exploit incluída
  • Re-teste gratuito após remediação

Âmbito

O que realmente testamos.

Nada de scanner automático rebatizado como « auditoria ». Cada missão combina ferramentas industriais e expertise manual em zonas críticas.

01

Pentest aplicação web

OWASP Top 10 completo, broken auth, IDOR, SSRF, XSS, desserialização. Black/grey/white-box.

02

Pentest mobile (iOS e Android)

Reverse engineering, bypass jailbreak detection, certificate pinning, armazenamento local, API. OWASP MASVS.

03

Pentest API e microsserviços

REST, GraphQL, gRPC. Auth, rate-limiting, BOLA/BFLA. OWASP API Security Top 10.

04

Pentest infraestrutura e cloud

AWS, GCP, Azure: IAM, configurações CIS, segmentação de rede, segredos expostos. Auditoria interna e externa.

05

Red Team e engenharia social

Campanhas phishing dirigidas, OSINT, intrusão física simulada. Para empresas maduras que testam deteção.

06

Pentest IoT e embedded

Análise firmware, reverse hardware, protocolos proprietários, BLE, MQTT. Para IoT e equipamentos industriais.

Metodologia

Cinco fases, rastreáveis.

Cada missão segue PTES. Sabes sempre onde estamos, recebes findings críticos em tempo real.

01

Pre-engagement

Definição de scope, rules of engagement, janelas de teste, contactos de emergência. NDA antes de qualquer acesso.

02

Reconhecimento e mapeamento

OSINT, enumeração, fingerprinting. Mapeamento completo da superfície de ataque antes de qualquer tentativa.

03

Exploitation

Tentativas manuais + ferramentas (Burp Suite Pro, Metasploit, scripts). Cada vulnerabilidade comprovada por exploit reproduzível.

04

Reporting

Executive summary (1 página) para a direção + relatório técnico detalhado. CVSS 3.1, impacto, remediação valorizada.

05

Re-teste após remediação

Em 30 dias verificamos que vulnerabilidades críticas e altas estão fechadas. Incluído em todos os pacotes.

Entregáveis

O que recebes.

Executive summary (1 página)

Síntese não técnica para direção, board ou seguro cyber. Riscos maiores, score global, recomendações top.

Relatório técnico detalhado

20-80 páginas. Cada finding: descrição, prova, CVSS 3.1, impacto, remediação, CWE/CVE.

Restituição oral

Sessão 1-2h em vídeo ou presencial. Respondemos a perguntas, prioritizamos juntos.

Plano de remediação valorizado

Cada vulnerabilidade com esforço estimado, impacto × probabilidade, ordem de prioridade. Roadmap acionável.

Atestado de pentest

Documento assinado para clientes, parceiros, certificações ISO/SOC, seguro cyber. Sem detalhes técnicos.

Re-teste gratuito (30 dias)

Re-verificação em 30 dias que findings críticos estão corrigidos. Sem mês extra para faturar.

Tarifas

Cada projeto é único. O orçamento também.

Em vez de pacotes abstratos, adaptamos ao teu contexto: âmbito, complexidade, prazos, restrições. Escreve-nos em 3 frases o que queres fazer — devolvemos um orçamento firme em 48 h úteis.

Resposta em 48 h úteis Pedir orçamento