Demo
← Back to Research

Pentest vs. Scanner de Vulnerabilidade: Qual a Diferença Real?

2026-04-05 Veyronn Security Research

Pentest vs. Scanner de Vulnerabilidade: A Diferença que Ninguém te Conta

Toda semana alguém aparece com a seguinte situação: “Já contratamos uma plataforma de DAST e o relatório não encontrou nada grave. Estamos seguros?”

A resposta curta: provavelmente não.

A resposta longa é este artigo.

O Que é um Scanner de Vulnerabilidade (DAST/SAST)

Scanners automatizados — Qualys, Nessus, OWASP ZAP, Burp Suite Scanner, Veracode, Checkmarx — são ferramentas que:

  1. Rastreiam URLs e endpoints da sua aplicação
  2. Disparam payloads de ataque conhecidos
  3. Comparam a resposta com padrões de vulnerabilidade catalogados
  4. Geram um relatório automático com achados

São úteis, baratos, e rápidos. E têm uma fraqueza fundamental: só encontram o que já é conhecido e catalogado.

O Que um Scanner Nunca vai Encontrar

1. Business Logic Flaws (Falhas de Lógica de Negócio)

Esse é o ponto crítico. Considere este fluxo real:

1. Usuário cria pedido → status "pendente"
2. Aplica cupom de desconto
3. Pedido vai para "aguardando pagamento"

Um pentester observa: “E se eu aplicar o cupom DEPOIS de confirmar o pagamento? E se eu reutilizar o cupom em outro pedido antes do sistema marcar como usado?”

Um scanner não tem esse raciocínio. Não entende fluxo de negócio. Não testa sequências não-lineares.

Real case: Em uma fintech brasileira, encontramos uma lógica onde o usuário conseguia iniciar a transferência, cancelar no meio, e o sistema debitava a conta destino mas não estornava a conta origem. Saldo grátis. Scanner: nada encontrado.

2. IDOR em APIs Autenticadas Multi-tenant

GET /api/v1/empresas/1234/relatorios/financeiro
Authorization: Bearer TOKEN_EMPRESA_5678

Para detectar esse IDOR, você precisa de:

  • Dois tokens válidos de contas diferentes
  • Entender a estrutura da API (que não está na documentação)
  • Testar sistematicamente IDs entre contas

Scanner não tem duas sessões. Não entende que empresa/1234 deveria ser inacessível para empresa/5678. Não testa isolamento multi-tenant.

3. Authorization Bypass em Endpoints Internos

Sua API tem 87 endpoints documentados. E mais 23 endpoints de debug/admin que ficaram na codebase de produção e não estão na documentação.

Scanner não sabe da existência deles. Pentester experiente vai descobrir via brute force de endpoints, análise de JavaScript, e ferramentas de wordlist.

4. JWT e OAuth2 Falhas Complexas

Algorithm confusion em JWT:

# Servidor usa RS256 (assimétrico)
# Pentester baixa a chave pública do endpoint /jwks.json
# Forja um novo token assinado com HS256 usando a chave pública como secret
# Servidor valida o token — não fixou o algoritmo aceito

Scanner envia payloads conhecidos. Não entende o contexto criptográfico específico da implementação.

5. Vulnerability Chaining (Encadeamento)

SSRF (baixo impacto isolado) 
  + Acesso a metadados cloud (médio isolado)
  + Credenciais IAM no metadata (crítico combinado)
  → Comprometimento total do ambiente cloud

Scanner encontra o SSRF. Não percebe a chain completa. Não acessa o metadata, não extrai credenciais. O impacto real é subestimado.

Quando Usar Cada Um

Use Scanner Automatizado Para:

  • CI/CD pipeline — rodar a cada deploy, detectar regressões de vulnerabilidades conhecidas (XSS básico, headers de segurança ausentes, versões desatualizadas)
  • Inventário de superfície — descobrir todos os endpoints e serviços expostos
  • Cobertura de CVEs conhecidas — versões de bibliotecas com CVE catalogado
  • Baseline antes do pentest — para o pentester não gastar tempo com itens triviais

Use Pentest (Humano) Para:

  • Compliance (BACEN 538, ISO 27001, SOC 2) — auditores aceitam apenas evidence de pentester qualificado
  • Due diligence de investidor — VCs pedem pentest report, não scan report
  • Produto em produção com dados reais — risco de breach precisa de teste real
  • Antes de feature crítica — lançamento de PIX, Open Finance, pagamento online
  • Após incidente — entender como o atacante entrou e se existem outros vetores

A Melhor Estratégia: Os Dois Juntos

A combinação ideal para empresas com maturidade:

Scanner no CI/CD (contínuo)
  → Detecta CVEs e regressões automaticamente

Pentest Anual (manual)
  → Valida lógica de negócio, IDOR, autenticação complexa, code review

Reteste pós-remediação (manual)
  → Confirma que as correções funcionam

O scanner reduz ruído e custo. O pentest encontra o que importa.

Quer ver um exemplo de vulnerabilidade que apenas um pentester humano encontraria? Fale com nossa equipe.