Como trabalhamos

Nossa Metodologia

Cada engajamento segue um processo estruturado e transparente. Você sabe exatamente o que acontece em cada etapa — sem caixas pretas, sem surpresas.

O processo

5 etapas. Do escopo ao reteste.

Seguimos OWASP WSTG, MSTG e PTES — adaptados à realidade de cada cliente. Nenhuma etapa é pulada.

01
Definição de Escopo

Antes de qualquer teste, alinhamos o que será avaliado, o que está fora dos limites e quais são os objetivos. Assinamos o NDA, definimos os ambientes autorizados e estabelecemos os canais de comunicação. Essa etapa evita mal-entendidos e garante que o pentest agregue valor real ao negócio.

NDARules of EngagementKick-off
02
Reconhecimento e Mapeamento

Mapeamos a superfície de ataque: endpoints, tecnologias, fluxos de autenticação, integrações externas e pontos de entrada. Usamos técnicas passivas e ativas para entender a arquitetura antes de qualquer interação direta. Quanto mais entendemos o sistema, mais preciso é o teste.

OSINTFingerprintingAttack Surface Mapping
03
Exploração e Validação

Aqui é onde a maioria das consultorias falha. Não usamos apenas scanners automáticos — cada potencial vulnerabilidade é investigada manualmente. Testamos lógica de negócio, controle de acesso, autenticação e todas as classes de falhas relevantes. Cada achado é reproduzido e confirmado antes de ser documentado.

Manual TestingOWASP Top 10Business Logic
04
Relatório e Apresentação

Entregamos dois documentos: um relatório executivo para gestão e board, com linguagem acessível e foco em risco de negócio; e um relatório técnico detalhado para o time de desenvolvimento, com evidências, PoCs, CVSS e recomendações específicas. Oferecemos uma call de apresentação para tirar dúvidas.

Relatório ExecutivoRelatório TécnicoCVSSPoCs
05
Reteste e Validação das Correções

Após a implementação das correções, realizamos o reteste de todas as vulnerabilidades identificadas — sem custo adicional, dentro de 30 dias. Confirmamos se cada falha foi corretamente remediada e emitimos um certificado de reteste. Esse ciclo fecha o loop e garante resultado real.

Reteste Gratuito30 diasCertificado
Referências técnicas

Baseado nas melhores metodologias do setor

Não inventamos nossa própria metodologia do zero. Nos apoiamos nas referências mais respeitadas da indústria e as adaptamos com mais de 8 anos de experiência em pentest ofensivo real.

OWASP WSTG Web Security Testing Guide ↗ OWASP MSTG Mobile Security Testing Guide ↗ PTES Penetration Testing Execution Standard ↗
"Não reportamos o que o scanner encontrou. Reportamos o que um atacante real conseguiria explorar."
— Equipe ProfitSec
Case sanitizado

Como uma falha crítica passou despercebida por meses

Um exemplo real de engajamento — com dados anonimizados — que ilustra como conduzimos o processo e o impacto que geramos.

IDOR · Criticidade Alta · CVSS 8.1
Falha de Autorização em Plataforma de Gestão de Investimentos

Contexto

Fomos contratados por uma fintech para avaliar a segurança dos endpoints de API responsáveis por operações financeiras. A plataforma havia passado por uma auditoria de código recente e a equipe acreditava que os controles de acesso estavam corretos.

Vulnerabilidade Encontrada

Durante o mapeamento manual dos fluxos de autorização, identificamos que o endpoint /api/v2/portfolio/{id}/transactions não validava se o usuário autenticado era o proprietário do recurso. Qualquer token válido permitia acesso a qualquer portfólio.

Impacto Real

A falha existia há pelo menos 8 meses em produção. Um atacante com conta gratuita poderia acessar dados financeiros de todos os clientes premium, incluindo histórico de transações, saldo e documentos de compliance.

Correção e Reteste

Recomendamos a implementação de verificação de ownership no middleware de autorização. A correção foi implementada em 3 dias. O reteste confirmou a remediação completa.

// próximo passo

Quer entender como aplicamos isso ao seu sistema?

Agende uma conversa sem compromisso. Explicamos como o processo funciona para o seu contexto específico.

Agendar Consulta Ver Serviços