Sentinela Security Audit
Cinquenta e uma probes em sete camadas distintas: 39 observam o alvo de fora (sem agente, sem credenciais, sem bloquear tráfego — 3 deles só rodam após o gate de autorização), 9 são opt-in — 5 caixa-branca que clonam temporariamente o repositório pra rodar SAST (Semgrep), secret scanning no histórico git (Gitleaks), lint de Dockerfile (Hadolint), scan de IaC (Trivy: Terraform, Kubernetes, CloudFormation) e auditoria de workflows do GitHub Actions, 1 que lê os lockfiles de dependências via API do provedor (sem clonar) cruzando com OSV.dev, 1 caixa-cinza que conecta na API oficial da Vercel, e 2 que cruzam o domínio e e-mails do alvo contra bases públicas de vazamento — e 3 OSINT plan-gated (Pro+) que varrem fontes públicas fora do perímetro do alvo: Google dorks via Serper, GitHub Code Search com mascaramento de credenciais e Internet Archive. Cada finding vem com severidade, evidência técnica e recomendação clara — em PT-br. Mapa de compliance LGPD/ISO 27001/PCI-DSS, resumo executivo gerado por IA, score 0–100, grade A–F, diff entre auditorias e PDF executivo.
Sem agente · Sem instalação · Não invasivo · Você precisa autorizar o domínio antes da auditoria
Honestidade técnica
Sentinela Security Audit é ASM externo (Attack Surface Management): observação não-invasiva da superfície que seu domínio expõe pra internet. Não é pentest. Não exploramos vulnerabilidades, não fazemos brute-force, não tentamos contornar autenticação. Pra teste de invasão você quer um pentester humano — e a gente ajuda apontando os pontos óbvios antes dele cobrar caro pra apontar os mesmos.
O papel do Sentinela é ver e avisar, não interceptar. Fail-safe e fail-loud: probe que falha vira finding informativo, nunca silencia.
Três camadas · Uma plataforma
A página está organizada em três camadas — mais fácil de navegar se você entender o mapa antes da lista densa de 51 probes lá embaixo.
01
Descobrem o que existe.
49 probes PHP nativas + Nuclei, Semgrep, Gitleaks, Trivy. A família nativa cobre rede, TLS, headers, e-mail, exposure, LGPD, cloud — sem binário externo, leve e barata. A família embrulhada entra onde a indústria já resolveu: CVE templates, SAST, IaC.
Ver as 51 probes →02
Traduzem em risco com preço.
Score técnico A–F comparável entre alvos + risco contextual por criticidade de negócio + CISA KEV + EPSS + ALE em R$/ano usando downtime real do Uptime. O score técnico fica intocável (comparabilidade); contexto vive em eixo paralelo.
Ver scoring e risco financeiro →03
Fecham o ciclo até a correção.
Cada finding vira RemediationTask atribuível com SLA, MTTR por workspace, integração JIRA e Break-the-Build via API Sanctum + SARIF 2.1.0 no GitHub Actions. Não para no relatório — vai até o pull request.
Ver remediação e CI/CD →A maioria das ferramentas de ASM para no olho — entrega lista. CTEM é o que conecta as três camadas em fluxo único.
Como funciona
Segurança de site não é uma coisa só. Cada camada tem um conjunto de probes especializados que observam um aspecto diferente da superfície externa do seu domínio.
01 · Camada
Como o alvo se apresenta na internet — DNS, portas abertas, reputação.
Saúde dos NS, propagação, consistência de registros e resolução.
CAA records (controle de emissão de certificados, MEDIUM se ausente) e AXFR zone transfer via TCP (CRITICAL se permitido — expõe toda a zona DNS).
Verifica DNSSEC via DNS-over-HTTPS (Cloudflare DoH). Detecta domínios sem DS/DNSKEY (MEDIUM) ou com cadeia quebrada — DS presente mas AD bit ausente (HIGH).
Scan TCP top-30 + banner grabbing. Gated por autorização explícita.
Spamhaus DNSBL + Google Safe Browsing opcional.
02 · Camada
Como sua aplicação responde a um visitante (ou atacante).
Versões (TLS 1.0/1.1 deprecated, TLS 1.3 missing), ciphers, expiração, hostname, signature, OCSP.
HSTS (preload, includeSubDomains), CSP (unsafe-inline, wildcards, Trusted Types), COOP/COEP/CORP, redirect HTTPS, disclosure de versão.
Secure, HttpOnly, SameSite, prefixos __Host-/__Secure- em cookies de sessão.
.env, .git, dumps, logs, lockfiles de dependência (composer.lock, package-lock.json, yarn.lock, pnpm-lock.yaml — versões exatas fixadas habilitam targeting preciso de CVE), OIDC discovery (/.well-known/openid-configuration), healthchecks (/actuator/health, /readyz), security.txt presença.
Pega vazamentos que o ExposureProbe não cobre por usar nomes não-previsíveis (dump_2026_xyz.sql, instance_db_hash.sql.gz). Detecta listagem de diretório aberta (autoindex Apache/nginx/IIS/Caddy) em 18 paths comuns de backup e cruza HTML/robots.txt/sitemap.xml em busca de links com extensão sensível. Valida via fingerprint (keywords SQL, magic bytes gzip/zip/SQLite, formato KEY=value em .env).
Secrets em bundle, source maps públicos, libs vulneráveis (jQuery, Bootstrap, Vue 2, Moment.js), SRI ausente, mixed content, CSRF em forms POST.
Chaves PEM no HTML (CRITICAL), connection strings com credenciais (CRITICAL), credenciais em comentários HTML (HIGH), IPs RFC 1918 em scripts inline (MEDIUM). Filtra placeholders.
Stack trace exposto em 404/500: Laravel/Whoops, Symfony, Django, Rails, ASP.NET, Express.
Versão, plugins (wordlist 250+, 100/scan), temas, XML-RPC, user enum, debug.log. CVE matching via Wordfence Intelligence — 100k+ vulns com CVSS, sync diário. Enriquecimento EPSS + CISA KEV automático.
Drupal (CHANGELOG exposto, settings.php), Joomla! (manifest XML, /administrator/), Magento (/magento_version, admin path padrão). Checagens específicas por CMS.
Crawl de até 10 páginas. Detecta JS ofuscado (eval/atob, Dean Edwards packer), conteúdo oculto com spam, iframes externos, forms com action hijacking, cloaking por User-Agent. Cruza URLs contra URLhaus + OpenPhish (~300k entradas, sync diário).
OpenAPI/Swagger expostos, GraphQL introspection habilitada, field suggestions.
GraphQL Playground exposto, JWTs no corpo/cookie com alg:none (CRITICAL), expiração longa, claims sensíveis.
Detecta buckets S3, GCS e Azure Blob referenciados no HTML. Testa listagem pública (CRITICAL) ou registra como INFO se privado.
Wildcard com credentials, reflexão de Origin, null origin.
TRACE habilitado, verbos sensíveis (PUT/DELETE sem autenticação).
Check ATIVO atrás do gate de autorização: envia TRACE/TRACK com um token único num header e confirma Cross-Site Tracing quando o servidor ecoa o token de volta (MEDIUM — prova, não apenas "declarado"). Não destrutivo, escopo estreito.
Parâmetros next, redirect, return — confirmado por host parseado na resposta.
Paths sensíveis declarados (admin, internal, backup) em /robots.txt e /sitemap.xml.
Fingerprint de WAF/CDN por headers, cookies e body (Cloudflare, Sucuri, Imperva, Akamai, CloudFront, Fastly, Vercel, Azure, F5, Wordfence, ModSecurity). Exibe IP do scanner para liberação em allowlist.
Varredura de ~40 caminhos comuns em paralelo (admin panels, phpMyAdmin, painéis de debug — Horizon, Telescope, Pulse, Debugbar, Clockwork —, backups, uploads, config, logs). Painel de debug ABERTO (HTTP 200) escala a CRITICAL: dashboards de fila renderizam payloads de jobs enfileirados — tokens de canal, webhooks, PII de destinatário; presente mas protegido (403) fica HIGH. Detecção de soft-404 via canary. Gated por autorização.
Versões de software expostas em headers HTTP (Server, X-Powered-By, X-AspNet-Version) e meta generator, permitindo targeting por CVE específico.
Reflexão de X-Forwarded-Host e X-Original-Host no corpo ou Location. Detecta vetor de password reset poisoning e cache poisoning (HIGH).
IPs privados RFC 1918 (10.x, 172.16–31.x, 192.168.x, 127.x) e hostnames internos (.internal, .corp, .lan) em headers HTTP — revela topologia de infra ao atacante.
Formulários com input[type=password] submetidos via HTTP (CRITICAL — senha em cleartext) ou para domínio externo (HIGH — credential harvesting).
Respostas com Set-Cookie sem Cache-Control: no-store/private (MEDIUM) e evidência de sessão servida de cache compartilhado via header Age (HIGH). RFC 7234.
Valida security.txt conforme RFC 9116: Contact obrigatório (HIGH), Expires obrigatório (MEDIUM), registro expirado (MEDIUM) ou válido por mais de 1 ano (LOW).
03 · Camada
Quem responde por esse domínio, como recebe e-mails e proteção contra hijacking.
SPF (com lookup budget RFC 7208 §4.6.4), DKIM selectors comuns, DMARC, ausência dos registros.
Análise de qualidade das políticas: SPF +all/?all (HIGH), SPF ~all sem DMARC enforcement (MEDIUM), DMARC p=none (HIGH), DMARC pct<100 (LOW). Vai além da presença — avalia se a política realmente protege.
Política de transporte SMTP seguro (RFC 8461): publica política, arquivo acessível, modo enforce. TLS reporting (RFC 8460) configurado.
Expiração do domínio, status clientHold, pendingDelete.
Verifica via RDAP se o domínio tem registrar lock: clientTransferProhibited (MEDIUM se ausente) e clientDeleteProhibited (LOW se ausente). Previne domain hijacking.
Descoberta passiva via Certificate Transparency (crt.sh) + checagem de subdomain takeover em 16 services (GitHub Pages, Heroku, Fastly, etc.).
04 · Camada
Camada brasileira — LGPD observável de fora, com base nos artigos que pegam o site comum. Os achados alimentam o mapa de compliance (LGPD/ISO 27001/PCI-DSS).
GA4, GTM, Meta Pixel, Hotjar, Clarity, TikTok, LinkedIn, Mixpanel, Amplitude, Segment, FullStory e mais — 24 hosts + 11 padrões inline (gtag, fbq, dataLayer). Detecta tracker carregando ANTES do banner mesmo quando não há cookie HTTP. HIGH se sem banner. Ref art. 7º, I.
Detecta presença do banner (CookieYes, OneTrust, Cookiebot, Iubenda, Klaro, Didomi, Usercentrics, Termly, Osano e custom) e checa se há opção visível de "Rejeitar"/"Apenas necessários". Banner "aceite ou nada" é vício de consentimento (ANPD Guia de Cookies, art. 8º §4º).
Detecta link/menção a política de privacidade e contato do Encarregado/DPO via parse DOM (XPath em <a href> + texto visível). Vasculha página dedicada (/politica-de-privacidade, /privacidade) coletada pelo crawler mesmo quando a home não cita. Refs art. 9º + art. 41.
Forms POST coletando e-mail, CPF, telefone, nome ou senha sem checkbox ou link visível pra política de privacidade próximo — falta consentimento informado (art. 8º, §1º). Parse DOM com fallback heurístico em irmãos do form.
CPF, e-mail, telefone ou RG passando via querystring em links da página. Valor mascarado antes de persistir como evidência. Vaza em logs de servidor, histórico do navegador e Referer pra terceiros — risco de segurança clássico (art. 46).
Cruza fingerprint de hospedagem estrangeira (Cloudflare, AWS CloudFront, Vercel, Azure, Fastly, Akamai, Fly.io, Netlify, Render, Railway — 17 headers + 7 tokens em Server/Via) com menção a "transferência internacional"/"cláusulas padrão contratuais" no texto. Sem disclosure = LOW (art. 33).
Cookies clássicos de tracking (_ga, _gid, _fbp, hjid, _hjSessionUser, etc.) setados na primeira visita sem banner detectado — HIGH (art. 7º, I).
05 · Camada
Vetor humano — domínio e e-mails do alvo em vazamentos de dados públicos. Agora contínuo: vigilância diária + painel dedicado + alerta, não só durante a auditoria.
Opt-in por alvo. Cruza o registrable domain (+ domínios extras) contra o catálogo do Have I Been Pwned sincronizado localmente (sync diário). Emite finding agregado com nº de vazamentos, contas comprometidas e data do mais recente; severidade pela recência e sensibilidade dos dados expostos. 100% passivo — não toca o alvo.
Coleta mailto: e fallbacks (contact@, admin@, security@) e cruza via h8mail contra bases de vazamentos públicos.
06 · Camada
Opt-in (plano Agência+) — 5 probes caixa-branca com clone temporário do repo (SAST, secret scanning, Dockerfile, IaC, GitHub Actions), 1 que lê os lockfiles de dependências via API do provedor (sem clone) e 1 conector caixa-cinza que lê a API da Vercel.
composer.lock, package-lock.json, yarn.lock, requirements.txt, poetry.lock, go.mod, Gemfile.lock — GitHub/GitLab (subgrupos)/Bitbucket. PAT opcional pra repos privados. Cruzado com OSV.dev + CVE/EPSS/KEV.
Análise estática com rulesets detectados por stack: PHP/Laravel, JavaScript/Express/React, Python/Django/Flask, Go, Ruby, Java + OWASP Top 10. Findings agrupados em 15 buckets (SQLi, XSS, command injection, path traversal, mass assignment, weak crypto, etc.). CWE-78/89/94 promovidos automaticamente a CRITICAL.
Gitleaks varre árvore atual + histórico --depth=N (default 50 commits). Detecta chaves AWS/GCP/Azure (CRITICAL), GitHub PAT, Stripe/Twilio/SendGrid, chaves privadas PEM, e ~150 outros padrões. Valor mascarado (4 primeiros + 4 últimos chars) antes de persistir.
Lint de Dockerfile detectando práticas inseguras: USER root persistente (HIGH), ADD em vez de COPY, versões não pinadas em apt/apk/pip/npm, tag latest, missing HEALTHCHECK, shell sem pipefail, cache de apt não limpo. 9 buckets traduzidos.
Misconfigurations em Terraform (.tf), Kubernetes manifests, CloudFormation, Helm charts, Ansible playbooks + CIS Docker benchmark. Severity direto do Trivy (CRITICAL/HIGH/MEDIUM/LOW), cap de 500 findings por run ordenados por severity.
Parser custom de .github/workflows/*.yml: pull_request_target + checkout do head do PR (CRITICAL — RCE clássico), permissions: write-all (MEDIUM), actions sem pin de SHA (@branch HIGH, @tag terceiros MEDIUM), secrets ecoados em run (HIGH).
Conecta na API oficial da Vercel com token read-only por alvo (criptografado). Audita a versão do Node (HIGH se EOL/sem suporte de segurança, MEDIUM se fim de vida recente), se o deploy de produção mais recente quebrou — com as linhas de erro do build — e a taxa de builds falhos no histórico recente. Não lê variáveis de ambiente nem código-fonte.
07 · Camada
Vazamentos do seu domínio em fontes públicas fora do perímetro — search engines, repos públicos, Internet Archive, buckets cloud adivinháveis. 100% passivo, plan-gated.
Varre o índice do Google via Serper.dev por 11 categorias: arquivos sensíveis indexados (.env, .sql, .bak, phpinfo, directory listing, credenciais em URL) e menções do domínio em pastes públicos (Pastebin, Gist, Postman, GitLab, Bitbucket, Docker Hub). Cobre o caso clássico de "arquivo sumiu do servidor mas continua no cache". Opt-out por categoria; cache 24h.
GitHub Code Search com 7 queries: .env files, DATABASE_URL, AWS access keys (AKIA), chaves privadas RSA, webhooks Slack, wp-config.php + enumeração opcional via org:{handle}. Pega repo da empresa publicado por engano e funcionário commitando segredo em conta pessoal. Mascaramento automático de AWS/Slack/GitHub/Stripe nos snippets de evidência. Exclude do repo conectado pra evitar self-hit.
Internet Archive CDX API. Lista URLs históricas do domínio que apontam para arquivos sensíveis (18 extensões: .env, .sql, .pem, .config, .log, etc.) — mesmo que tenham sido removidas do servidor, o conteúdo continua acessível indefinidamente via cache do Wayback. Agrupado por extensão num único finding.
Wordlist de 20 sufixos baseada no eTLD+1 do domínio (-backup, -prod, -uploads, -logs, etc.) testando listagem pública em paralelo via Http::pool. Dedupe contra buckets já referenciados no HTML. Listagem pública confirmada = CRITICAL com signal_strength=100. Extensão da CloudStorageProbe.
As 39 probes das camadas 1–4 rodam em toda auditoria após autorização do domínio (3 delas — Portas, Directory Discovery e Confirmação ativa de XST — exigem gate de autorização adicional para sondagem ativa). As probes opt-in (camadas 5 e 6) exigem dados extras: toggle de monitoramento de vazamento, autorização para coleta de e-mails, URL do repositório para as análises caixa-branca e token read-only da Vercel para a auditoria do projeto. A camada 7 (OSINT) é 100% passiva — não toca o alvo, varre apenas índices públicos — e é liberada por plano: Pro+ ganha Google dorks, Wayback e enumeração de buckets cloud; Business+ adiciona varredura de repositórios públicos vazando código.
Score & grade
Cada finding tem peso fixo por severidade. A soma é a penalidade — descontada de 100. A grade é uma faixa do score, pra leitura rápida.
Penalidade
penalty = 10·critical + 5·high + 2·medium + 0.5·low score = clamp(100 − penalty, 0, 100)
Findings novos de severidade alta ou crítica vêm destacados no alerta. Enquanto houver crítico ou alto em aberto, cada auditoria concluída renotifica os canais — o alerta para quando você zera os críticos/altos.
Faixas
Saídas
Cada finding tem signature estável — "TLS 1.0 habilitado" no run de janeiro é o mesmo finding no run de março. Card "O que mudou desde a última auditoria" com contagem de resolvidos, novos e recorrentes, badge por finding e gráfico de tendência da nota das últimas auditorias. Sem ruído de "tudo é novo a cada audit".
Auditoria deixa de ser foto descartável. Aceitar risco: marca um finding como risco conhecido — sai da nota, mas continua no relatório, registrado e auditável (quem aceitou, quando, por quê). Re-testar na hora: corrigiu? roda só aquela checagem e confirma ✓ na mesma tela, sem esperar a próxima auditoria semanal.
Capa com nota A–F datada, sumário pra não-técnico, findings agrupados por categoria, recomendações priorizadas, anexo técnico. White-label disponível no plano Agência.
Findings com CVE vêm com EPSS (probabilidade de exploit), CISA KEV (exploração conhecida) e OSV.dev (dependências). Vira "tenho 3 que estão sendo explorados — esses primeiro" em vez de "tenho 47 CVEs".
Os achados são correlacionados a controles de LGPD, ISO/IEC 27001:2022 e PCI-DSS v4.0 — aba dedicada na auditoria e seção no PDF, com cobertura por framework. Correlação automática de scan externo; não substitui certificação formal, mas dá ao DPO/cliente uma leitura por norma.
Resumo e plano de remediação priorizado gerados por IA a partir dos findings já enriquecidos (EPSS/KEV), no idioma do dono do alvo. Aparece na auditoria e no PDF. Opcional, em planos pagos — degrada limpo quando desativado.
CTEM
Detectar é o começo. O Sentinela fecha o ciclo de Continuous Threat Exposure Management: contextualiza o risco pelo seu negócio, quantifica em dinheiro, prioriza pelo que está sendo explorado e cobre a remediação ponta a ponta.
Você classifica a criticidade de negócio de cada ativo (e o ambiente). A nota técnica continua intacta e comparável, mas ganha uma leitura de risco do negócio — o mesmo finding pesa diferente num site institucional e no checkout.
Exposição anual estimada (ALE): custo de inatividade com dados reais do seu Uptime + probabilidade de incidente × impacto (LGPD, recuperação, reputação). Risco deixa de ser abstrato e vira número pra board — algo que só faz sentido com uptime e segurança na mesma plataforma. Veja a fórmula e um exemplo.
Vulnerabilidade em exploração ativa conhecida (CISA KEV) ou com alta probabilidade (EPSS) escala o risco do ativo automaticamente — e puxa a exposição financeira junto. Você corrige o que está sendo explorado, não a lista inteira.
Cada finding vira tarefa atribuível: responsável, prazo, status e comentários, com e-mail de atribuição e de vencimento. Fecha sozinha quando o finding some entre auditorias. Painel de MTTR e cumprimento de SLA por ativo.
API com token: dispare auditoria no pipeline, faça polling do veredito e reprove o build por nota mínima ou severidade. Saída SARIF 2.1.0 pro GitHub Code Scanning. Snippet pronto de GitHub Actions.
Cadastre fornecedores, vincule os hostnames já auditados (postura externa contínua) e some o questionário de segurança — rating cibernético comparativo A–F por fornecedor, sem motor de scan novo.
Recorrência
Configura uma vez e o Sentinela roda no schedule combinado, gera diff em relação à última run e renotifica os canais escolhidos a cada auditoria concluída enquanto houver findings críticos ou altos — os novos vêm destacados. <strong>Pro+ ganha ainda o gatilho event-driven</strong>: probe leve detecta exposição nova (porta aberta, header derrubado, vulnerabilidade crítica) e dispara auditoria profunda em ~30s, sem esperar a semana.
Por perfil
Inteligência de Vazamento
Todo dia cruzamos os domínios da sua conta com o catálogo público do Have I Been Pwned. Vazamento novo atingindo um domínio seu → alerta no Slack/Discord/e-mail e o caso entra na Central. Credenciais e dados expostos ficam consolidados num painel só — "Credenciais & Dados Expostos". 100% passivo, sem credenciais da sua nuvem. Pro+.
Compliance / Jurídico
7 detectores LGPD observáveis de fora: trackers de 3ªs partes (GA, Pixel, Hotjar) antes do banner, banner "aceite ou nada" (vício de consentimento), formulário sem aviso, PII em querystring, transferência internacional sem disclosure. Mapa de compliance correlaciona tudo a LGPD/ISO 27001/PCI-DSS. Histórico mensal mostra esforço contínuo — pra DPO, cliente ou ANPD.
Agência / Freelancer
Audite todos os sites dos seus clientes em uma conta. PDF white-label com sua marca e resumo executivo por IA. Mostre evolução de A-F a cada mês — argumento concreto pra renovação.
Time técnico
Diff entre runs vira backlog. Webhook entrega findings críticos no canal do time, ou abre ticket direto no Jira (botão por finding ou automático, com dedup pra não duplicar no re-run). A Inteligência de Vazamento vigia os domínios todo dia e alerta quando aparecem em nova base pública — consolidado no painel Credenciais & Dados Expostos e na Central. Análise de repositório (Business+) cruza dependências com OSV.dev sem manter Dependabot. Conector Vercel avisa de Node EOL e deploy de produção quebrado direto da API oficial.
Transparência
Antes de rodar qualquer probe ativo no seu domínio, exigimos que você marque "Eu autorizo a auditoria deste domínio". Sem isso, só rodam probes 100% passivos (DNS, WHOIS, CT logs). Isso protege você (e a gente) e está alinhado com boas práticas de pesquisa de segurança e com a LGPD.
Comparativo
| Sentinela | Detectify | Probely | Intruder | |
|---|---|---|---|---|
| Em PT-br nativo | ✓ | — | — | — |
| Pagamento em BRL | ✓ | — | — | — |
| LGPD: trackers, banner & forms | ✓ | — | — | — |
| Inclui uptime | ✓ | — | — | — |
| Score A–F + diff entre runs | ✓ | parcial | parcial | parcial |
| PDF white-label | Agência | enterprise | enterprise | enterprise |
| Malware scan (JS/cloaking/threat intel) | ✓ | extra pago | — | — |
| WordPress CVE (Wordfence 100k+) | ✓ | parcial | — | — |
| WAF detection + IP do scanner | ✓ | parcial | — | — |
| SPF/DMARC strength (além de presença) | ✓ | — | — | — |
| Domain lock (anti-hijacking) | ✓ | — | — | — |
| Monitoramento de vazamento (HIBP) | ✓ | parcial | — | parcial |
| Mapa compliance LGPD/ISO/PCI | ✓ | — | — | — |
| Resumo executivo por IA | ✓ | — | — | — |
| Threat intel sync diário local | ✓ | — | — | — |
| Foco | ASM + LGPD-BR | DAST + ASM | DAST | VM + ASM |
Detectify, Probely e Intruder fazem coisas que o Sentinela não faz (DAST profundo, fuzzing, scan autenticado). O Sentinela ataca outro problema: cobertura ampla de postura externa + LGPD-BR + uptime, com preço acessível.
FAQ — security audit
Não. É ASM externo automatizado e recorrente. Pentest envolve exploração ativa por humano e está fora do nosso escopo — e a gente fala isso na cara pra você não esperar o que não entregamos.
Não. Probes são leves e respeitam rate limits. A auditoria toda completa em poucos minutos com impacto desprezível.
Porque mesmo probes leves tocam seu servidor. Autorização explícita protege você juridicamente e a gente eticamente.
Não. Detectamos e documentamos. Exploração é trabalho de pentester humano contratado.
Sim. Probes externos não dependem do framework. Há análise específica de WordPress, Drupal, Joomla! e Magento quando detectamos a stack. Se o alvo usa WAF, o Sentinela detecta automaticamente e exibe o IP do scanner na interface — você libera o IP no allowlist do WAF e re-audita para resultados completos.
Vazamento de credenciais: toggle "monitorar vazamentos" no formulário do alvo — cruzamos o domínio (e domínios extras opcionais) contra o catálogo do Have I Been Pwned sincronizado localmente, sem tocar o alvo. Vazamentos de e-mail: probe h8mail. Dependências/código do repo: você preenche a URL do repositório no alvo (e PAT opcional pra repos privados). Vercel: informe o Project ID, o Team ID (se o projeto for de um time) e um token read-only da Vercel no alvo — auditamos Node EOL e saúde dos deploys via API oficial, sem ler env vars nem código.
Não. É uma correlação automática entre os achados da auditoria externa e controles de LGPD, ISO/IEC 27001:2022 e PCI-DSS v4.0 — uma leitura por norma pra priorizar e mostrar ao DPO/cliente. Não substitui auditoria/certificação formal, que envolve documentação, processos e jurisdição fora do alcance de um scan externo. É puramente apresentacional: não altera o score.
Depois do enriquecimento (EPSS/KEV), uma IA gera um resumo executivo e um plano de remediação priorizado a partir dos findings reais daquela auditoria, no idioma do dono do alvo. Aparece na auditoria e no PDF. É opcional (planos pagos) e degrada limpo: se desativado, a seção simplesmente não aparece — nada é inventado além dos achados.
Sete detectores observáveis sem credencial: (1) trackers de 3ªs partes carregando sem banner (GA, GTM, Meta Pixel, Hotjar, Clarity, etc. — incluindo gtag/fbq inline sem cookie HTTP), (2) banner "aceite ou nada" sem opção visível de recusar (vício de consentimento, ANPD), (3) política de privacidade e contato do Encarregado/DPO — varremos página dedicada (/politica-de-privacidade) se a home não cita, (4) formulários coletando e-mail/CPF/telefone/nome sem aviso próximo, (5) PII em querystring (CPF/e-mail/telefone em URL — vaza em log e Referer), (6) transferência internacional sem disclosure quando o site roda em Cloudflare/AWS/Vercel sem mencionar cláusulas padrão, (7) cookies clássicos de tracking (_ga, _fbp, _hjid, etc.) setados na primeira visita sem banner detectado. Refs explícitos a Art. 6º VI, 7º I, 8º §1º/§4º, 9º, 33, 41, 46 + Guia de Cookies da ANPD.
Não. É a parte observável — o que dá pra ver de fora sem acesso a contratos, ROPA, DPIA ou processos internos. Ajuda DPO a priorizar correções óbvias e dar à diretoria uma medida datada do progresso, mas adequação plena envolve documentação, treinamento e jurisdição que ficam fora do escopo de uma ferramenta automatizada.
No formulário do alvo você vincula um <strong>monitor de Uptime</strong> (a gente auto-sugere quando o host casa). O cálculo soma as horas de incidentes reais dos últimos 12 meses daquele monitor × o campo <strong>"receita por hora"</strong> que você preenche no mesmo formulário. Sem monitor vinculado, essa perna aparece como indisponível — não chutamos com benchmark de mercado. Detalhe do cálculo no post <a href="/blog/como-calculamos-risco-financeiro-em-reais" class="underline">Como calculamos o risco em R$/ano</a>.
Pronto pra ver?
Free inclui 1 auditoria por mês. Pra rodar semanal automática, Pro ou superior.