NovoPentest manual em SaaS · Web e Mobile

Hackers de verdade
testando seu SaaS.

Pentest 100% manual, por profissionais qualificados. Achamos a brecha. Você corrige.

Saiba MaisVer escopos
Antes de tudo

"SaaS Security" é o alvo do teste. Não o produto.

A KATRINASEC é especializada em Segurança Ofensiva e foca em testes manuais que simulam ataques reais, explorando vulnerabilidades que escapam das ferramentas automatizadas — não uma plataforma que você assina. Quem encontra a brecha é gente, não algoritmo.

o que somos

Um serviço de pentest
conduzido por humanos.

  • Pentesters seniores executando manualmente
  • Escopo desenhado pro estágio do seu produto
  • SaaS web e/ou mobile (iOS e Android)
  • Relatório artesanal com PoC reproduzível e retest
o que não somos

Um SaaS de
segurança automatizada.

  • Scanner automático rodando em loop
  • Assinatura mensal de uma plataforma
  • Time de correção (achamos a falha, você corrige)
  • Dashboard genérico com checklists
O Problema

A automação para onde
o invasor começa.

Scanner automático, WAF e SaaS de "AppSec" cobrem o básico — e param exatamente onde a brecha que derruba seu produto começa.

Scanner automático NÃO vai te salvar

Automação encontra bugs conhecidos. Invasores encontram os desconhecidos.

WAF básico não é pentest

Um WAF bloqueia ataques genéricos. Falhas de lógica passam direto.

Falhas de lógica e permissão

Ferramentas não encontram erros de permissão, IDOR ou ataques encadeados.

Cada feature é uma nova superfície

A cada deploy, novas brechas surgem. Segurança precisa acompanhar o ritmo.

A Solução

A KATRINASEC vai
além do óbvio.

A KATRINASEC opera como um red team focado em SaaS — web e mobile. Pensamos como invasor porque é nisso que vivemos: bug bounty, CTF, pesquisa ofensiva.

Achamos a brecha, entregamos a PoC. Você corrige. Voltamos pra confirmar que o problema sumiu.

Onde o scanner para, nós continuamos
Pensamos como um invasor
Encontramos falhas lógicas de negócio
+1000 vulnerabilidades reportadas
O que entregamos

Segurança ofensiva de verdade, sem checklists genéricos.

Três pilares que separam um pentest sério de um relatório automatizado.

Testes Manuais

Attack chains que scanners não veem

Cadeias de ataque reais combinando falhas menores até alcançar comprometimento total da aplicação.

  • IDOR, race conditions e escalação de privilégios
  • Abuso de lógica multi-tenant e RBAC
  • Exploração encadeada (chained exploits)
  • OAuth 2.0, SSO e fluxos de autenticação
katrinasec — pentest.sh
$ katrinasec scan --target saas.app
[+] Recon complete — 128 endpoints
[!] Broken access control at /api/v1/tenant/:id
[!!] IDOR chain → full tenant takeover
$ katrinasec report --exec
► Generating technical + executive report…
APIs e Lógica

Testes profundos em APIs REST e GraphQL

Cobertura completa da superfície de API, incluindo endpoints não documentados e abusos contratuais.

  • Fuzzing contextual e mass assignment
  • Quebra de rate limit e bypass de autorização
  • Exposição de dados sensíveis em respostas
  • GraphQL introspection e abuso de queries
katrinasec — pentest.sh
$ katrinasec scan --target saas.app
[+] Recon complete — 128 endpoints
[!] Broken access control at /api/v1/tenant/:id
[!!] IDOR chain → full tenant takeover
$ katrinasec report --exec
► Generating technical + executive report…
Entrega

Relatórios técnicos e executivos de verdade

Evidência passo a passo, impacto de negócio e recomendações acionáveis. Retest incluso para validar correções.

  • Provas de conceito reproduzíveis
  • Severidade calibrada por impacto real
  • Relatório executivo para stakeholders
  • Call de entrega com o time técnico
katrinasec — pentest.sh
$ katrinasec scan --target saas.app
[+] Recon complete — 128 endpoints
[!] Broken access control at /api/v1/tenant/:id
[!!] IDOR chain → full tenant takeover
$ katrinasec report --exec
► Generating technical + executive report…
Como funciona

Três etapas. Tudo conduzido por gente.

Do kickoff ao retest, cada decisão técnica é tomada por um pentester sênior — não por um workflow.

01

Kickoff e escopo

Mapeamos seu SaaS (web e/ou mobile), ambientes, fluxos críticos e restrições. NDA assinado, janela de teste definida.

02

Pentest manual

Nossos seniores executam o teste à mão. Automação só para o trabalho braçal — cada exploração e cada attack chain é construída por humano.

03

Relatório + retest

Entregamos relatório técnico e executivo com PoC reproduzível. Você corrige, e fazemos o retest pra validar — sem custo extra.

Escopos

Escolha o escopo que combina com o estágio do seu SaaS

Não são planos mensais. São pacotes pontuais de pentest, dimensionados para a maturidade do seu produto — do MVP ao SaaS enterprise, web ou mobile.

STARTER

Para MVPs e produtos validando mercado

Escopo

1 aplicação web
Até 30 endpoints
1 ambiente (produção ou staging)
Testes de 3 a 5 dias

Inclui

OWASP Top 10 completo
Teste de Autenticação e Autorização
Testes de Lógica de Negócio
Testes de API REST (30 endpoints)
Testes de Exposição de Dados
Relatório Técnico
Call de Entrega
Quero esse escopo

GROWTH

Para SaaS escalando com clientes pagantes

Escopo

1 aplicação web
Até 80 endpoints
RBAC, multi-tenant, SSO, OAuth 2.0
APIs REST e GraphQL
Testes de 7 a 10 dias

Inclui

Tudo do Starter +
Escalação de privilégios
Race conditions
Controle de acesso
Injeções avançadas
API e microserviços
Attack chains
Retest (15 dias)
Quero esse escopo

PRO

Para SaaS enterprise com web + mobile + cloud

Escopo

Aplicação web completa
Infraestrutura cloud
Mobile (iOS e/ou Android)
Produção e staging
Testes de 15 a 30 dias

Inclui

Tudo do Growth +
Pentest de infra cloud
Pentest mobile
Dependências vulneráveis
Engenharia Social
Relatório Executivo
2 Retestes (15/30 dias)
Quero esse escopo
Perguntas frequentes

Dúvidas comuns, respostas diretas.

Não. SaaS Security é o nome da nossa campanha de pentest especializado em SaaS — o "SaaS" é o alvo do teste, não o que estamos vendendo. Você contrata um pacote pontual (Starter, Growth ou Pro), não uma assinatura. Nada de dashboard, nada de cobrança recorrente.
Vamos conversar

Não espere o ataque pra
descobrir a brecha.

Conta o que seu SaaS faz, em qual estágio está, e qual o objetivo do teste. A gente volta com escopo e janela de execução em até 24h úteis.

contato direto

Sem formulário de funil. Sem SDR robô.

Email

contato@katrinasec.com

Telefone

+55 (11) 94539-0284

o que esperar

  • Resposta de pentester sênior em até 24h úteis
  • NDA assinado antes de qualquer detalhe técnico
  • Proposta com escopo, prazo e investimento

Conte sobre o seu SaaS

Suas informações ficam só com a gente. Sem spam, sem CRM-bot.

© KATRINASEC Offensive Security