Demo
Especialidade · SaaS B2B

Pentest para Plataformas SaaS

Em SaaS B2B, um IDOR entre tenants não é um bug técnico — é a destruição da credibilidade com todos os clientes simultaneamente. Testamos isolamento de dados, autorização de API, e lógica de negócio específica de produto multi-tenant.

Solicitar Pentest SaaS Ver: O Que é IDOR →
O Risco Principal

O Que Acontece Quando um Tenant Acessa Dados de Outro

Cenário Real — IDOR em API de Multi-tenant
GET /api/v1/empresas/1234/relatorios/pipeline
Authorization: Bearer TOKEN_EMPRESA_5678

HTTP/1.1 200 OK
{
  "empresa_id": 1234,
  "nome": "Concorrente Direto S.A.",
  "pipeline_vendas": ${"valor_total": 4200000},
  "clientes": [{"nome": "Bradesco", "negociacao": "R$ 800k"}],
  "usuarios": [{"email": "ceo@concorrente.com", "role": "owner"}]
}
Impacto:

Empresa 5678 lê pipeline completo da Empresa 1234 — dados de vendas, clientes estratégicos, e usuários internos. Nenhum dos dois clientes sabe. Você descobre quando o advogado ligar.

Escopo Técnico

Cada Camada do Seu SaaS Testada

01

Isolamento Multi-tenant

Validamos que nenhum tenant acessa, modifica ou deleta dados de outro: via IDs, via filtros insuficientes em queries, via shared resources e via role escalation cross-tenant.

IDOR Broken Access Control
02

Autenticação e Tokens

JWT: algorithm confusion, weak secrets, none algorithm, kid injection. OAuth2: redirect_uri bypass, state CSRF. SSO: SAML injection, OIDC token leakage.

JWT OAuth2 SSO
03

API REST / GraphQL

Mass assignment, excessive data exposure, rate limit ausente, GraphQL introspection, batching abuse, e todos os itens do OWASP API Security Top 10.

GraphQL Mass Assignment Rate Limiting
04

Business Logic Flaws

Manipulação de planos (upgrade grátis, bypass de trial), reutilização de cupons, race conditions em cobrança, permissões por plano não aplicadas em API.

Business Logic Race Condition
05

Painel Administrativo

Rotas de admin sem proteção adequada, IDOR administrativo (admin de tenant A acessa painel de tenant B), funcionalidades internas expostas na API pública.

Admin Bypass Privilege Escalation
06

Relatório para Investidor

Relatório técnico com executive summary preparado para due diligence de Series A/B. Inclui severidade por vulnerabilidade e plano de remediação com estimativa de esforço.

Due Diligence CVSS v3.1
Quando Contratar

Os Momentos Certos Para Pentest no Ciclo SaaS

💰

Antes de Levantar Rodada (Series A/B)

Investidores fazem tech due diligence. VCs e PEs no Brasil pedem security posture — pentest report é evidência concreta.

🏢

Antes de Fechar Enterprise

Clientes de grande porte têm security questionnaire. Pentest report recente (menos de 12 meses) é pré-requisito para contratos acima de R$ 100k.

📋

Certificação ISO 27001 ou SOC 2

Ambas exigem evidência de gestão de vulnerabilidades técnicas. SOC 2 CC6.1 e ISO 27001 cláusula 8.8 pedem testes de intrusão.

🚀

Antes de Feature Crítica em Produção

Novo módulo de pagamento, integração com banco, abertura de API para parceiros — qualquer expansão de superfície de ataque merece validação.

Pronto para Contratar seu Próximo Pentest?

Adquira nossa avaliação pontual feita pelos melhores profissionais do mercado ou implemente o software da Veyronn 24/7.

Implantar Plataforma com IA Orçamento de Consultoria