Pular para o conteúdo
Rondo SecurityRondo Security
Todos os serviços
Web Security

Web Application Security Testing

Testes de segurança ofensiva em aplicações web e APIs

Aplicações web são o principal vetor de ataque externo contra organizações. Nossa metodologia vai além de scanners automatizados: cada aplicação é testada manualmente por especialistas que entendem lógica de negócio, fluxos de autenticação complexos e vulnerabilidades específicas de frameworks modernos (React, Angular, Next.js, Laravel, Django). Cobrimos SPAs, APIs REST, GraphQL e aplicações legacy.

OWASP Top 10REST APIGraphQLSQLiXSSSSRFJWT
5–14
dias de engajamento
OWASP Top 10
cobertura baseline
Manual + Automatizado
abordagem combinada
Web + API
escopo coberto

Áreas de avaliação

Injeções e Input Validation

  • SQL, NoSQL e ORM Injection
  • Cross-Site Scripting (XSS) — Stored, Reflected, DOM
  • SSTI (Server-Side Template Injection)
  • XML/JSON Injection e XXE

Autenticação e Sessão

  • Broken Authentication e Session Fixation
  • JWT manipulation e algorithm confusion
  • OAuth2 e OpenID Connect attacks
  • Brute force e credential stuffing

Controle de Acesso

  • IDOR (Insecure Direct Object Reference)
  • Privilege escalation horizontal e vertical
  • Mass assignment e parameter tampering
  • GraphQL introspection e broken authorization

Lógica de Negócio e Server-Side

  • Business logic flaws e race conditions
  • SSRF (Server-Side Request Forgery)
  • Path Traversal e File Upload Abuse
  • Deserialization insegura

Metodologia

1
01
Reconhecimento e Mapeamento
Spider da aplicação, mapeamento de endpoints, análise de JS bundles e descoberta de APIs não documentadas.
2
02
Análise de Autenticação
Avaliação de fluxos de login, MFA, recuperação de senha, OAuth e gerenciamento de sessão.
3
03
Testes de Autorização
IDOR, privilege escalation, insecure direct references e gaps em controle de acesso por role.
4
04
Testes de Injeção
SQLi manual e automatizado, XSS em todos os contextos, SSTI e outras formas de injeção de dados.
5
05
Lógica de Negócio
Análise de fluxos de pagamento, cupons, rate limits, multi-step processes e race conditions.
6
06
Relatório e Remediação
Relatório com evidências reproduzíveis, código de exemplo para fixes e referências OWASP/CWE.

Entregáveis

Relatório executivo com postura de risco
Relatório técnico com todos os findings e PoCs
Mapeamento por OWASP Top 10 e CWE
Payloads de exploração para cada vulnerabilidade
Recomendações de código seguro por linguagem/framework
Checklist de configuração segura de servidor
Reteste gratuito após correções (30 dias)

Serviços relacionados

Mobile Pentest

Identificamos vulnerabilidades em aplicativos móveis iOS e Android antes que atacantes reais o façam. Seguimos a metodologia OWASP Mobile Top 10 com análise estática, dinâmica e de tráfego.

Network Pentest

Testamos o perímetro externo e a rede interna como um atacante real faria: varredura de portas, exploração de serviços, AD attacks e movimentação lateral em redes corporativas.

Pronto para começar?

Solicite uma proposta personalizada para o seu ambiente.

Solicitar proposta Falar com a equipe

Siga o caminho que
atacantes reais
percorrem.

Entre em contato para discutir o escopo do seu engajamento. Nossa equipe responde em até 24 horas úteis.

Solicitar proposta Falar com a equipe
2.000+ alunos formados 120+ clientes atendidos Resposta em 24h úteis