Pentest Profissional

Achados reais, não relatório de scanner.

Pentest com equipe certificada OSCP, CEH e CRTP. Metodologia OWASP + PTES, retest gratuito de 90 dias e plano de remediação acionável.

Solicitar proposta Ver detalhes

stronit_pentest / engagement_82

Cliente · indústria · 47 ativos

EM EXECUÇÃO

Vulnerabilidades encontradas31

Críticas (CVSS 9+)4

Altas (CVSS 7-9)9

Médias (CVSS 4-7)12

Caminhos de ataque comprovados3

Compliance impactadoLGPD · ISO27001

Tipos de Pentest

Cobertura completa da sua superfície de ataque

Quatro modalidades, escolhidas conforme o risco de negócio que você quer atacar primeiro.

Aplicações Web e APIs

Testes OWASP Top 10, falhas de lógica de negócio, controle de acesso, injection, autenticação. Cobertura de aplicações single-page (React, Vue, Angular), APIs REST e GraphQL.

Aplicações Mobile

iOS e Android. Análise estática (código), dinâmica (runtime), API backend, armazenamento local, comunicações TLS. Inclui jailbreak/root detection bypass.

Infraestrutura e Rede

Pentest interno e externo. Active Directory, servidores, switches, VPNs, firewalls. Inclui movimentação lateral, escalada de privilégios, persistência.

Cloud (AWS, Azure, GCP)

Cloud Security Posture, IAM, exposure de buckets, configuração de containers/Kubernetes, secrets management, segurança de pipelines CI/CD.

Modalidades

Black Box, Gray Box ou White Box?

Cada modalidade revela um ângulo diferente da sua segurança.

Black Box

Nenhuma informação prévia. Simula um atacante externo descobrindo sua superfície de ataque do zero. Indicado para validar exposição externa.

Gray Box

Credenciais limitadas (ex: usuário comum). Simula um atacante que já obteve um acesso inicial. Melhor custo-benefício para a maioria dos casos.

White Box

Acesso total a código e infra. Permite achados profundos em tempo otimizado. Ideal para aplicações críticas em conformidade regulatória.

Metodologia

Da fundação acadêmica à execução prática

Discovery e Escopo

Reconhecimento ativo e passivo. Mapeamento de ativos, tecnologias, superfície exposta. Janelas e regras de engajamento.

Análise de Vulnerabilidades

Scanners + análise manual. Verificação de falsos positivos. Identificação de potenciais vetores de ataque.

Exploração

Tentativa controlada de exploração das vulnerabilidades. Encadeamento de falhas. Escalada de privilégios. Movimentação lateral.

Relatório e Remediação

Relatório técnico + executivo + plano de remediação priorizado. Reunião de fechamento. Retest gratuito após correção.

Perguntas frequentes

Sobre o pentest Stronit

Simples: 1-2 semanas. Intermediário: 3-4 semanas. Completo: 4-8 semanas. Red Team: 8-16 semanas.

Pentests sérios raramente afetam produção. Janelas e regras são negociadas antes. Testes com risco (brute force, DoS) só são feitos em homologação ou janela aprovada.

Sim. 90 dias para retest das vulnerabilidades críticas e altas após correção. Suporte adicional via chat durante a remediação.

A LGPD não nomeia pentest, mas exige "medidas técnicas adequadas". Pentest é evidência forte aceita pela ANPD e auditores. Para empresas com dados sensíveis em volume, virou padrão de mercado.