PENTEST

Se você tem algum serviço ou endpoint exposto na internet, está sujeito a um ataque. Um pentest (teste de intrusão) se trata de pensar como um atacante antes que alguém mal-intencionado faça isso por você.

Simulamos ataques reais contra seus sistemas para descobrir falhas que podem expor dados, parar operações ou comprometer usuários. Sem scanners cegos, manual e humano assim como qualquer ataque malicioso é feito.

Tal qual invasões reais, o pentest se adapta ao que sua infraestrutura apresenta, podendo ser feito um teste black box (simulando um atacante externo sem nenhum conhecimento interno senão informações públicas), grey box (com acesso parcial, familiaridade básica e alguns fluxos conhecidos), ou white box (total conhecimento do código e arquitetura, simulando um atacante já interno).

Testamos:

Aplicações web - SPAs, dashboards, fluxo de autenticação e autorização, sessões, business logic, vulnerabilidades conhecidas

APIs - REST, GraphQL, integrações internas e externas, fluxos, abuso de permissões, validações fracas e inconsistências entre endpoints.

Integrações - webhooks, serviços terceiros, filas, mensageria, trust boundaries

Servidores e arquitetura - análise de baixo nível, configurações inseguras, serviços expostos, containerização, permissionamento, decisões arquiteturais

Rede - enumeração, movimentação lateral, segmentação, confiança implícita e o que acontece depois que alguém “entra”.

Depois do ataque vem o aprendizado, detalhamos os pontos cegos e suas remediações para evitar desastres futuros, o trabalho só acaba quando tudo é mitigado.