SEGURANÇA & PENTEST
Eu entro no seu sistema antes que o atacante entre.
Pentest autorizado, auditoria de infraestrutura e hardening hands-on. Cada engajamento é documentado, assinado e entregue com plano de remediação — não só com uma lista de problemas.
Quero aplicar →Todos os engajamentos são realizados com autorização formal e escopo documentado. NDA padrão assinado antes de qualquer atividade. Conformidade com LGPD e boas práticas do OWASP.
O QUE FAÇO
Pentest de Aplicação Web & API
Ataque controlado e autorizado à sua aplicação. Identifico falhas antes que alguém mal-intencionado as encontre: injeção, autenticação quebrada, exposição de dados, controle de acesso falho.
Auditoria de Segurança de Infraestrutura
Varredura completa de servidores, containers, buckets e configurações de cloud. Portas abertas, permissões excessivas, segredos expostos em variáveis e logs.
Red Team — Simulação de Ataque Real
Simulação de adversário real com técnicas de reconhecimento, exploração e pós-exploração. Você descobre até onde um atacante real conseguiria chegar.
Hardening & Remediação
Não entrego só o relatório de problemas. Fico até fechar as brechas: WAF, rate limiting, rotação de credenciais, configuração de Cloudflare, segmentação de rede.
Revisão de Código (SAST)
Análise estática do código-fonte em busca de vulnerabilidades introduzidas no desenvolvimento: SQL injection, XSS, SSRF, deserialização insegura.
COMO FUNCIONA
01
Escopo & NDA
Definição de alvos autorizados, regras de engajamento e assinatura de confidencialidade. Nada acontece sem autorização documentada.
02
Reconhecimento
Mapeamento passivo e ativo da superfície de ataque: subdomínios, endpoints, tecnologias expostas, vazamentos em fontes abertas.
03
Exploração Controlada
Execução de ataques dentro do escopo acordado. Cada vulnerabilidade confirmada é documentada com prova de conceito.
04
Relatório Dual
Relatório técnico para o time de engenharia + resumo executivo para o board. Severidade por CVSS, impacto de negócio e plano de remediação priorizado.
05
Retest
Após as correções, executo novo teste nas mesmas superfícies para confirmar que as brechas foram efetivamente fechadas.
CASOS REAIS — SEM NOME DE CLIENTE
Startup de Segurança em Escala
API exposta em modo debug desde o primeiro deploy. Bots mapeando rotas de billing há meses.
Fechado em 24h. Cloudflare + agente IA de monitoramento instalado. Zero incidente após fechamento.
Healthtech com dados sensíveis
Bucket S3 com documentos de pacientes sem autenticação. Descoberto durante auditoria de infraestrutura.
Acesso bloqueado em 2h. Políticas IAM reescritas. Auditoria de conformidade aprovada na semana seguinte.
Fintech em fase de captação
Chaves de API de produção hardcoded no repositório público do GitHub há 8 meses.
Rotação imediata de credenciais. Secrets Manager implementado. Nenhum acesso não-autorizado confirmado no período.
Seu sistema está seguro — ou você apenas nunca testou?
A maioria das brechas que encontro existe há meses. Não porque o time é ruim — porque ninguém olhou com os olhos certos.