Demo
← Back to Research

Tipos de Pentest: Web, API, Mobile, Infra e Red Team Explicados

2026-03-20 Veyronn Security Research

Tipos de Pentest: Guia Completo para Empresas Brasileiras

Quando alguém diz “precisamos de um pentest”, a primeira pergunta deveria ser: pentest de quê? A superfície de ataque de uma empresa moderna é ampla — sistemas web, APIs, apps mobile, infraestrutura cloud, e o fator humano. Cada um exige especialização diferente.

1. Pentest de Aplicação Web

O mais comum. Cobre tudo que roda no browser:

O que é testado:

  • Autenticação e sessões
  • Autorização (IDOR, Broken Access Control)
  • Injeções (SQL, SSTI, Command Injection)
  • XSS, CSRF, Open Redirect
  • File upload, path traversal
  • Business Logic Flaws específicos do produto

Metodologia base: OWASP Testing Guide v4.2

Exemplo de vulnerabilidade encontrada:

POST /api/v1/pedido/cancelar
Content-Type: application/json
{"pedido_id": 9845}
# → cancela pedido de outro usuário sem verificar ownership

Duração típica: 5–10 dias úteis
Para quem: Todo produto digital com interface web — SaaS, e-commerce, marketplace, fintech, portal do cliente.

2. Pentest de API REST / GraphQL

APIs são o coração de produtos modernos — e o vetor mais negligenciado. Diferente do pentest web, foca exclusivamente no backend:

O que é testado (OWASP API Security Top 10):

  • Broken Object Level Authorization (IDOR em APIs)
  • Broken Authentication (JWT, OAuth2, API Keys)
  • Excessive Data Exposure
  • Lack of Resources / Rate Limiting
  • Mass Assignment
  • Security Misconfiguration
  • GraphQL: introspection, batching, injection

Exemplo de vulnerabilidade:

GET /api/v1/clientes?fields=id,nome,cpf,saldo,senha_hash

HTTP/1.1 200 OK
[{"id":1,"nome":"João","cpf":"123.456.789-00","saldo":14750.00,"senha_hash":"$2b$10$..."}]

Excessive Data Exposure: API retorna campos sensíveis não solicitados pelo cliente.

Duração típica: 7–14 dias úteis (depende do número de endpoints)
Para quem: Arquiteturas de microsserviços, mobile backends, APIs expostas a parceiros.

3. Pentest Mobile (Android e iOS)

Aplicativos móveis têm superfície de ataque única — o código roda no dispositivo do usuário, não no seu servidor:

O que é testado:

  • Armazenamento inseguro: tokens, PII em SharedPreferences/Keychain sem criptografia
  • Tráfego de rede: interceptação, SSL pinning bypass, análise de APIs chamadas pelo app
  • Engenharia reversa: análise do APK/IPA, strings hardcoded, lógica de autenticação
  • Autenticação: bypass de biometria, session management, deep links inseguros
  • APIs do backend: reutiliza metodologia de API pentest para todos os endpoints do app

Exemplo de vulnerabilidade:

# Android SharedPreferences sem criptografia
FILE: /data/data/com.empresa.app/shared_prefs/user.xml
<string name="auth_token">eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...</string>
<string name="cpf">123.456.789-00</string>

→ Qualquer app no dispositivo com permissão de storage lê o token e CPF do usuário.

Duração típica: 7–12 dias úteis
Para quem: Fintechs, bancos digitais, apps com dados financeiros ou PII.

4. Pentest de Infraestrutura (Cloud / On-Prem)

Enquanto os outros tipos focam em aplicações, este foca na camada de infraestrutura:

Cloud (AWS/GCP/Azure):

  • S3/GCS Buckets públicos com dados de clientes
  • IAM over-permissioned (políticas com * em resources)
  • Security Groups permissivos (portas de debug expostas: 22/3389 na internet)
  • Secrets e credenciais em variáveis de ambiente ou código
  • Container security (Docker, EKS/GKE misconfigurations)
  • SSRF para metadados cloud (169.254.169.254)

On-Prem:

  • Serviços expostos desnecessariamente (Redis, Elasticsearch sem auth)
  • Vulnerabilidades de rede interna
  • Servidores com versões desatualizadas e CVEs exploráveis

Duração típica: 5–10 dias úteis
Para quem: Empresas com infra própria ou cloud complexo.

5. Red Team (Adversarial Simulation)

O mais completo e mais custoso. Combina todos os tipos anteriores com social engineering e, em alguns casos, teste físico:

Fases:

  1. Reconhecimento: OSINT público (LinkedIn, registros, publicações de dev)
  2. Initial Access: Phishing direcionado, exploração de serviços expostos
  3. Escalada: Pivoto de acesso inicial para sistemas críticos
  4. Persistência: Backdoors, credenciais roubadas
  5. Exfiltração: Simulação de roubo de dados críticos

Diferencial: O Blue Team (time de defesa) não sabe quando o exercício começa. O objetivo é testar detecção e resposta real, não apenas encontrar vulnerabilidades.

Duração típica: 3–8 semanas
Para quem: Empresas com SOC implementado, maturidade de resposta a incidentes estabelecida.

Como Escolher: O Fluxo de Decisão

□ Tenho produto web/SaaS?
  → Pentest Web Application (sempre)

□ Tenho APIs expostas (REST / GraphQL)?
  → Pentest de API (essencial para produto digital)

□ Tenho app mobile com dado sensível?
  → Pentest Mobile (obrigatório para fintech/saúde)

□ Minha infra é cloud-first (AWS/GCP)?
  → Pentest de Infra (importante para multi-tenant)

□ Tenho SOC + já faço pentest anual há 2+ anos?
  → Red Team (exercício de detecção e resposta)

Para a maioria das empresas brasileiras em estágio de crescimento: Pentest Web + API (Grey Box) é o ponto de partida ideal.

Ficou com dúvida sobre qual modalidade serve para sua empresa? Fale com nosso time — avaliamos seu contexto e recomendamos o escopo certo.