A HuntBox é especializada em testes de intrusão para APIs, aplicações web e mobile. Relatórios técnicos com CVSS 3.1, PoC reproduzível e portal de acompanhamento ao vivo.
4 minutos. Sem enrolação. Você vai entender exatamente o que encontramos em produção e por que isso importa para o seu negócio.
Testes de intrusão especializados por superfície de ataque. 100% ofensivo — encontramos as falhas, você corrige.
Análise completa de aplicações web. Autenticação, autorização, injeções e lógica de negócio que scanners não detectam.
REST e GraphQL. BOLA, BFLA, exposição de dados, manipulação de parâmetros, JWT/OAuth bypass e falhas de autorização.
Android e iOS. Storage inseguro, SSL pinning bypass, análise de tráfego, engenharia reversa de APKs com Frida e JADX.
Simulação realista de APT. Reconhecimento, exploração, pós-exploração, movimentação lateral e escalação de privilégios.
Portal exclusivo para o cliente acompanhar o pentest em tempo real. Findings conforme são descobertos, severidade ao vivo.
Gestão de vulnerabilidades integrada com Jira. Seu time acompanha remediações, SLAs e evolução de segurança ao longo do tempo.
Processo transparente. Você sabe exatamente em qual fase estamos — via HuntTrack.
Regras de engajamento definidas antes de qualquer teste
Mapeamento completo da superfície de ataque
Identificação com CVSS 3.1 e CWE por finding
PoC reproduzível confirmando impacto real
Técnico + executivo entregue com senha
Emissão do certificado de ambiente testado
Ao término de cada engajamento, emitimos um Certificado de Pentest — evidência formal de que sua plataforma foi submetida a teste de intrusão profissional.
Certificamos que a plataforma e infraestrutura de
[NOME DA EMPRESA]
foi submetida a teste de intrusão profissional conforme as metodologias
OWASP · PTES · MITRE ATT&CK entre as datas definidas em contrato.
Todas as vulnerabilidades identificadas foram documentadas com PoC reproduzível,
score CVSS 3.1 e referência CWE. Reteste de remediação realizado e aprovado.
O certificado serve como evidência para auditorias LGPD, conformidade CMN 4.893/2021 (BCB) e requisito PCI-DSS 11.3
BOLA, BFLA, Broken Auth, Excessive Data Exposure — aplicados em todo engajamento de API.
Mapeamento de TTPs utilizados por atores reais. Cada técnica documentada no relatório técnico.
Penetration Testing Execution Standard. Fases claras do pre-engagement ao reporting.
Toda vulnerabilidade classificada com score CVSS 3.1 e referência CWE para rastreabilidade.
Mobile Security Testing Guide — cobertura completa para Android e iOS.
Relatório serve como evidência regulatória. Certificado emitido ao término do engajamento.
Dados acumulados dos engajamentos realizados. Atualizados a cada novo pentest concluído.
Publicamos cases reais anonimizados, CVEs críticos e análises técnicas toda semana. Segue para não perder nenhum achado.
Seguir no LinkedIn"Decodificamos o JWT de um banco. Dentro do token: userId em texto aberto. Trocamos o número. O backend não reclamou. CPF, saldo e CVV de qualquer cliente — expostos."
Ver post completo →Preencha o formulário ou entre em contato direto. Respondemos em até 24 horas com proposta sem compromisso. NDA assinado antes de qualquer informação técnica.
RESPOSTA EM ATÉ 24H · NDA ANTES DE QUALQUER INFO
O HuntTrack é o portal exclusivo HuntBox. Assim que o pentest começa, você tem acesso a um painel atualizado ao vivo com progresso por fase, findings e severidade de cada vulnerabilidade.
Solicitar Acesso ao HuntTrack →Acompanhe cada fase do pentest — Recon, Análise, Exploit, Post-Ex, Report e Certificação — com percentual e previsão de entrega atualizada continuamente.
LIVE · ATUALIZAÇÃO AUTOMÁTICACada vulnerabilidade encontrada aparece no dashboard imediatamente com severidade (CRÍTICO/ALTO/MÉDIO/BAIXO), descrição e endpoint afetado.
CVSS 3.1 · CWE · ENDPOINTClique em qualquer finding para ver o Proof of Concept completo — request HTTP, resposta do servidor, payload utilizado e impacto de negócio estimado.
POC REPRODUZÍVEL · SCREENSHOTSFeed cronológico de tudo que aconteceu durante o engajamento. Transparência total — você sabe exatamente o que foi testado e quando.
AUDIT LOG · TIMELINEAo término, o relatório técnico e executivo e o certificado de ambiente testado ficam disponíveis para download direto pelo portal.
PDF CRIPTOGRAFADO · CERTIFICADO DIGITALO VulControl conecta os findings do pentest diretamente ao Jira do seu time de desenvolvimento. Cada vulnerabilidade vira uma issue rastreável — com SLA, responsável e status de remediação.
Cada finding do pentest vira automaticamente uma issue no seu Jira com severidade, descrição técnica, PoC e guia de remediação. O time de dev já recebe tudo pronto para trabalhar.
Crítico: 72h. Alto: 7 dias. Médio: 30 dias. Baixo: 90 dias. O VulControl monitora os prazos e envia alertas antes do vencimento — sem deixar vuln crítica em aberto.
Histórico de segurança ao longo do tempo. Quantas vulns foram abertas vs fechadas, evolução do risk score e tendência mês a mês. Ideal para reportar para board e investidores.
Quando a correção é marcada como concluída no Jira, o VulControl automaticamente agenda o reteste com a equipe HuntBox — que valida e atualiza o status para "Remediado e Verificado".
Slack, email ou webhook. O time é notificado quando um finding crítico é aberto, quando um SLA está próximo do vencimento e quando o reteste é aprovado.
Geração automática de relatório de conformidade — evidência para LGPD, CMN 4.893, PCI-DSS e ISO 27001. Exportável em PDF com assinatura digital HuntBox.
Transparência total. Baixe o modelo de relatório de pentest da HuntBox e entenda exatamente o que você vai receber ao final de cada engajamento — antes de assinar qualquer contrato.
Relatório técnico e executivo completo com findings reais anonimizados, CVSS 3.1, CWE, PoC reproduzível, screenshots e guia de remediação. Formato idêntico ao que você recebe após o engajamento.
Enviado por email após preenchimento do formulário de contato
Risco geral em linguagem de negócio — sem jargão técnico. Para CEO, CTO e board.
CVSS 3.1, CWE, endpoint afetado, impacto de negócio estimado e PoC reproduzível com screenshots e request/response completo.
Cada finding tem recomendação técnica específica — não genérica. Com código de exemplo quando aplicável.
Vídeo de exploração, screenshots anotados, logs e payloads utilizados. Tudo documentado para reprodução.
PDF com senha única comunicada por canal seguro separado. Nunca enviamos no mesmo canal do relatório.