A HuntBox encontra vulnerabilidades críticas em APIs, aplicações web e mobile — antes que um atacante real o faça. Teste manual com metodologia OWASP, relatório técnico e portal de acompanhamento ao vivo.
4 minutos. Sem enrolação. Você vai entender exatamente o que encontramos em plataformas como a sua — e por que isso importa para o seu negócio, seus clientes e sua conformidade regulatória.
A HuntBox foi fundada com uma premissa simples: empresas precisam de um parceiro que pense como um atacante — não como um auditor de conformidade.
Não vendemos antivírus, firewall, consultoria de compliance ou Blue Team. Fazemos uma única coisa com excelência: encontrar vulnerabilidades reais antes que criminosos as explorem.
Cada superfície de ataque tem suas vulnerabilidades específicas. Escolha a cobertura que faz sentido para o seu risco atual.
Autenticação quebrada, injeções, lógica de negócio, CSRF, XSS, path traversal. O que scanners não pegam, nós encontramos manualmente.
BOLA, BFLA, exposição de dados, manipulação de parâmetros, JWT sem validação server-side, OAuth bypass e mass assignment.
Storage inseguro, SSL pinning bypass, análise de tráfego, engenharia reversa de APK, interceptação de API e dados sensíveis em log.
Simulação realista de APT. Reconhecimento, exploração, movimentação lateral, escalação de privilégios e pós-exploração documentada.
Portal exclusivo para acompanhar o pentest em tempo real. Findings conforme são descobertos. Severidade, PoC e progresso ao vivo, 24/7.
Gestão de vulnerabilidades integrada ao Jira. Cada finding vira uma issue rastreável com SLA, responsável e status de remediação.
Cada vulnerabilidade documentada com CVSS 3.1, PoC reproduzível e impacto de negócio estimado. Sem suposições — evidência concreta.
Via HuntTrack, você vê cada finding em tempo real — não espera semanas pelo relatório final para descobrir o que encontramos.
Relatório serve como evidência para CMN 4.893/2021, LGPD Art.46 e PCI-DSS Req.11. Certificado emitido ao término do engajamento.
Cada finding vai direto para o Jira com guia de remediação específico — não genérico. O dev sabe exatamente o que corrigir e como.
Após as correções, retestamos as vulnerabilidades sem custo adicional para confirmar que foram remediadas corretamente.
O Certificado de Pentest da HuntBox é evidência formal para due diligence, investidores e contratos com grandes clientes que exigem segurança.
Processo estruturado e transparente. Você sabe exatamente em qual fase estamos — via HuntTrack.
Regras de engajamento e NDA assinado antes de qualquer informação técnica
Acesso ao portal ao vivo antes do primeiro dia de teste
Mapeamento completo da superfície de ataque, CVSS 3.1 por finding
Confirmação do impacto real com evidência reproduzível
Técnico + executivo, criptografado, entregue com guia de remediação
Validação das correções e emissão do certificado de ambiente testado
Cases reais anonimizados, CVEs críticos e análises técnicas toda semana. Siga para não perder nenhum achado.
Seguir no LinkedIn"Decodificamos o JWT de uma plataforma em produção. Dentro do token: userId em texto aberto. Trocamos o número. O backend não reclamou. Dados privados de qualquer usuário — expostos. Scanner não pega. Só pentest manual encontra."
Ver post completo →Atendemos empresas de todos os portes e segmentos que têm APIs em produção, dados de usuários ou obrigações regulatórias. Se sua plataforma tem usuários, ela tem superfície de ataque.
APIs de crédito, pagamento, open finance e banking. Obrigação legal pela CMN 4.893/2021 e BACEN 3.909/2018.
APIs de pedido, checkout, pagamento e dados de clientes. Processadores de cartão sujeitos ao PCI-DSS Req.11.
Dados de saúde são dados sensíveis sob LGPD Art.11 — penalidade máxima aplicável. Prontuários, exames e prescrições expostos são risco crítico.
Clientes enterprise exigem pentest como pré-requisito de contrato. Certificado HuntBox é evidência formal para due diligence e compliance.
Apps com dados de usuário precisam de pentest antes de captação série A — investidores e fundos exigem evidência de maturidade de segurança.
De startups a grandes corporações. Pacotes a partir de R$6.000 para APIs simples até contratos anuais enterprise. Sem Blue Team — 100% ofensivo.
Uma call de 30 minutos. Sem compromisso. Você define o escopo e recebe proposta com prazo e valor em menos de 24 horas. NDA assinado antes de qualquer informação técnica.
NDA ANTES DE QUALQUER INFO · PROPOSTA EM 24H · SÃO PAULO · BRASIL
Preencha o formulário com o escopo que você tem em mente. Respondemos em até 24 horas com uma proposta inicial sem compromisso. NDA assinado antes de qualquer informação técnica compartilhada.
NDA ANTES DE QUALQUER INFORMAÇÃO TÉCNICA · SEM COMPROMISSO
O HuntTrack é o portal exclusivo HuntBox. Assim que o pentest começa, você tem acesso a um painel atualizado ao vivo com progresso por fase, findings e severidade de cada vulnerabilidade.
Solicitar Acesso ao HuntTrack →Acompanhe cada fase do pentest — Recon, Análise, Exploit, Post-Ex, Report e Certificação — com percentual e previsão de entrega atualizada continuamente.
LIVE · ATUALIZAÇÃO AUTOMÁTICACada vulnerabilidade encontrada aparece no dashboard imediatamente com severidade (CRÍTICO/ALTO/MÉDIO/BAIXO), descrição e endpoint afetado.
CVSS 3.1 · CWE · ENDPOINTClique em qualquer finding para ver o Proof of Concept completo — request HTTP, resposta do servidor, payload utilizado e impacto de negócio estimado.
POC REPRODUZÍVEL · SCREENSHOTSFeed cronológico de tudo que aconteceu durante o engajamento. Transparência total — você sabe exatamente o que foi testado e quando.
AUDIT LOG · TIMELINEAo término, o relatório técnico e executivo e o certificado de ambiente testado ficam disponíveis para download direto pelo portal.
PDF CRIPTOGRAFADO · CERTIFICADO DIGITALO VulControl conecta os findings do pentest diretamente ao Jira do seu time de desenvolvimento. Cada vulnerabilidade vira uma issue rastreável — com SLA, responsável e status de remediação.
Cada finding do pentest vira automaticamente uma issue no seu Jira com severidade, descrição técnica, PoC e guia de remediação. O time de dev já recebe tudo pronto para trabalhar.
Crítico: 72h. Alto: 7 dias. Médio: 30 dias. Baixo: 90 dias. O VulControl monitora os prazos e envia alertas antes do vencimento — sem deixar vuln crítica em aberto.
Histórico de segurança ao longo do tempo. Quantas vulns foram abertas vs fechadas, evolução do risk score e tendência mês a mês. Ideal para reportar para board e investidores.
Quando a correção é marcada como concluída no Jira, o VulControl automaticamente agenda o reteste com a equipe HuntBox — que valida e atualiza o status para "Remediado e Verificado".
Slack, email ou webhook. O time é notificado quando um finding crítico é aberto, quando um SLA está próximo do vencimento e quando o reteste é aprovado.
Geração automática de relatório de conformidade — evidência para LGPD, CMN 4.893, PCI-DSS e ISO 27001. Exportável em PDF com assinatura digital HuntBox.
Transparência total. Baixe o modelo de relatório de pentest da HuntBox e entenda exatamente o que você vai receber ao final de cada engajamento — antes de assinar qualquer contrato.
Relatório técnico e executivo completo com findings reais anonimizados, CVSS 3.1, CWE, PoC reproduzível, screenshots e guia de remediação. Formato idêntico ao que você recebe após o engajamento.
Download direto · 196KB · Executivo + Técnico · Versão 1.0
Risco geral em linguagem de negócio — sem jargão técnico. Para CEO, CTO e board.
CVSS 3.1, CWE, endpoint afetado, impacto de negócio estimado e PoC reproduzível com screenshots e request/response completo.
Cada finding tem recomendação técnica específica — não genérica. Com código de exemplo quando aplicável.
Vídeo de exploração, screenshots anotados, logs e payloads utilizados. Tudo documentado para reprodução.
PDF com senha única comunicada por canal seguro separado. Nunca enviamos no mesmo canal do relatório.