Pentest.

Cada engajamento começa com escopo claro, autorização por escrito e janela definida. Sempre. Sem isso, não tem teste.

• Web Application Pentest — OWASP Top 10, lógica de negócio, autenticação, autorização, injeções, deserialização.
• API Security Testing — REST e GraphQL, BOLA, mass assignment, rate limiting, abuse de tokens.
• Network Pentest — perímetro externo, redes internas, segmentação, AD, escalação de privilégio.
• Mobile — análise estática e dinâmica de iOS/Android, certificate pinning, storage local, comunicação.
• Hardening & Code Review — revisão de código com foco em segurança, recomendações de configuração e infra.

Sigo OWASP Testing Guide e PTES como base, complementando com automação onde acelera e exploração manual onde a automação falha (que é onde mora a maioria das falhas reais).

Você recebe um relatório executivo (uma página, pra gestor) e um relatório técnico detalhado com cada vulnerabilidade, prova de conceito reproduzível, severidade CVSS e passo-a-passo de remediação.

Inclui sessão de readout com o time técnico para tirar dúvidas, e re-teste das correções dentro de 30 dias — só pra confirmar que tá realmente resolvido.

Atuo só com autorização explícita por escrito e dentro do escopo combinado. Nada de "olha que legal essa vulnerabilidade que eu achei sem te avisar". Confidencialidade e responsabilidade estão no contrato — e na prática.