What is a pentest in simple terms?

A pentest is a legal simulation of a real cyber attack. Specialists try to hack into your systems under contract to identify weaknesses before actual attackers find them.

How long does a pentest take?

Typically 2 to 6 weeks depending on scope: a single web application takes around 2 weeks, complex infrastructure or Red Team engagements run 4 to 6 weeks.

Is it safe to run a pentest on a live production system?

Yes. We agree on scope, timing, and methods in advance, use safe techniques, and can work against a production replica when needed.

What do I get at the end?

A detailed report with vulnerability descriptions, proof-of-concept exploits, CVSS scoring, and step-by-step remediation guidance.

Verificaremos se os atacantes invadem a sua empresa antes de si.

A PWN-ALL é uma equipa de hackers éticos. Realizamos ataques legais aos seus sistemas para identificar vulnerabilidades antes que os verdadeiros atacantes as descubram.

Solicitar auditoria O que é um pentest?

CVE-s críticos divulgados: Mais de 340
clientes protegidos: Mais de 120
Tempo médio de resposta: 14dias

Panorama das ameaças · hoje

Os números por trás de
cada violação.

60%

das violações envolvem o fator humano

44%

das violações envolvem ransomware

↑ 37% em relação ao ano anterior

88%

dos ataques a aplicações web utilizam credenciais roubadas

+34%

aumento na exploração de vulnerabilidades

das violações envolvem agora terceiros — o dobro em relação ao ano passado

22 052

incidentes de segurança analisados em todo o mundo

OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Operações da Equipa Vermelha✱ Investigação de Vulnerabilidades Zero Day✱ OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Operações da Equipa Vermelha✱ Investigação de Vulnerabilidades Zero Day✱

01 /

Um pentest é
a verificação da fechadura
da sua porta digital.

A analogia da casa

Antes de se mudar para uma nova casa, verifica as fechaduras, as janelas e o sistema de alarme. Um teste de penetração faz exatamente isso — mas para o seu site, aplicação e rede.

Ataque controlado

Os nossos especialistas atacam a sua infraestrutura da mesma forma que um hacker real o faria — mas sob contrato, sem causar danos e com um relatório completo no final.

Relatório + correção

Recebe um relatório detalhado: o que descobrimos, quão perigoso é e como resolver o problema. Sem enrolação — apenas ações.

sem teste de penetração

Só descobre a falha depois da violação

⚠ Fuga de dados de clientes
⚠ Tempo de inatividade da empresa em horários de pico
⚠ Multas regulamentares
⚠ Prejuízo à reputação

Nível de risco

92%

com pentest

Corrige as falhas antes do ataque

✓ Vulnerabilidades encontradas e corrigidas
✓ A equipa sabe como responder
✓ Conformidade com as normas de segurança
✓ Confiança dos clientes e parceiros

Nível de risco

14%

02 /

Como funciona.
Cinco passos para uma infraestrutura segura.

01

Âmbito e briefing

Discutimos o que testar, quais os sistemas críticos e quais são os limites. Assinamos um acordo de confidencialidade e acordamos as regras de atuação.
1–3 dias
02

Reconhecimento e mapeamento

Mapeamos a superfície de ataque: quais os serviços expostos, quais as tecnologias utilizadas e onde se encontram os pontos de entrada vulneráveis.
3–5 dias
03

Exploração

Exploramos as vulnerabilidades de forma segura: analisamos até onde um atacante real poderia, de forma realista, chegar dentro dos seus sistemas.
5–14 dias
04

Relatório

Entregamos um relatório em dois níveis: um resumo executivo para a liderança e detalhes técnicos para a equipa de engenharia.
3–5 dias
05

Reteste e suporte

Após as suas correções, realizamos um novo teste para confirmar que as falhas foram corrigidas. Estamos à disposição para esclarecer dúvidas.
2–3 dias

03 /

O campo de testes.
Experimente atacar você mesmo.

Quatro demonstrações práticas que mostram como os atacantes encontram pontos fracos — e como grande parte disso acontece em segundos. Cada uma é segura, funciona no seu navegador e é 100% inofensiva.

Rodada 1 / 10 Pontuação 0/10 fácil

Como jogar

Dez trechos de código reais, de fácil a difícil , em PHP, Python, Node.js, Rust, Go e SQL. Alguns escondem uma vulnerabilidade clássica, outros são apenas lógica complicada, outros são genuinamente limpos. Assinale o que vir — um ponto por resposta correta.

Pontuação

9–10/10 — passaria numa entrevista para um cargo sénior de AppSec.
6–8/10 — revisor sólido, com margem para aperfeiçoamento.
3–5/10 — os fundamentos estão lá, mas os detalhes mais subtis escapam-lhe.
0–2/10 — procura md5() no teu repositório esta noite.

O que procurar

Injeção (SQL, comando, NoSQL) · autenticação quebrada · segredos hardcoded · IDOR · SSRF · traversal de caminho · criptografia fraca · condições de corrida · deserialização insegura · verificações de autenticação em falta.

hydra -L users.txt -P common-list-100k.txt BRUTE

alvo https://acme-corp.local/login

lista de palavras common-list-100k.txt (99 738 entradas)

utilizadores admin · root · user · jerry · sarah · mike

// prima «Lançar ataque» para iniciar a simulação

O que acabou de acontecer

Um ataque clássico de preenchimento de credenciais. O atacante lança uma lista de 100 mil palavras contra nomes de utilizador comuns. Quando começa a receber respostas 403 — geralmente devido à limitação de taxa —, a ferramenta alterna entre um conjunto de proxies e continua a tentativa.

O sinal de alerta

sem WAF · sem limitação de taxa · sem deteção de anomalias

Milhares de tentativas de login falhadas a partir de IPs rotativos deveriam acender todos os painéis de controlo. Aqui, nada acontece. Eventualmente, uma palavra-passe acerta.

Defesa

Limitar a taxa por conta (não por IP), adicionar MFA, alertar sobre anomalias geográficas, banir conjuntos de proxies conhecidos e exigir CAPTCHA após N falhas.

Rodada 1 / 10 Pontuação 0/10

10 iscas de phishing modernas

Dez cenários baseados nas principais técnicas observadas em 2025–2026: código de dispositivo OAuth, quishing de código QR, abuso do Google Calendar/Meet/Forms, proxies reversos AiTM, BEC clássico, vishing com clonagem de voz por IA e falsificação de identificação de chamadas VoIP, e muito mais. Uma ronda = um padrão do mundo real.

Pontuação

9–10/10 — conseguiria detetar estes casos em produção.
6–8/10 — instintos sólidos, espaço para aperfeiçoar.
3–5/10 — uma implementação de MFA resistente a phishing está no seu plano de ação.
0–2/10 — a sua caixa de correio é uma violação à espera de acontecer.

A nova realidade

O phishing já não se limita ao e-mail. A voz pode ser clonada a partir de 3 segundos de áudio. O identificador de chamadas é facilmente falsificado através de VoIP (Twilio, 3CX, Asterisk). Os phishings gerados por IA têm uma taxa de cliques 60% superior. Verificar o domínio do remetente já não é suficiente.

nmap -sV <alvo> SCAN

// selecione um alvo e clique em «Lançar»

curl -I <alvo> PROBE

As equipas de desenvolvimento lançam código rapidamente e, por vezes, esquecem-se de limpar. Escolha um caminho esquecido e veja o que um atacante encontra por trás dele.

dev.acme-corp.com

// clique num caminho acima para o testar

O que se passa

Cada caminho corresponde a uma categoria de fuga de dados no mundo real. Os atacantes executam ferramentas como o dirsearch ou o ffuf, que testam milhares destas em segundos — se algum teste devolver 200 OK, é o fim do jogo.

A consequência

Uma única pasta .git exposta permite que um atacante reconstrua todo o histórico do seu código-fonte — incluindo commits eliminados com segredos.

Defesa

Bloqueie ficheiros dotfiles e caminhos de desenvolvimento na borda (nginx / WAF), execute scanners de fugas automatizados na CI, imponha artefactos de compilação limpos.

subfinder -d <domínio> | httpx RECON

// prima enumerate para iniciar a descoberta de subdomínios

O primeiro passo do atacante

Antes de mais nada, um pentester mapeia a sua superfície de ataque. Cada subdomínio esquecido é um ponto de apoio potencial — um servidor de teste, uma ferramenta interna antiga, um wiki.

Como funciona

subfinder > dnsx > httpx > nuclei

Registos de transparência de certificados, ataques de força bruta ao DNS e fontes passivas revelam subdomínios que ninguém se lembra de ter publicado.

Esteja atento a

Tudo o que tenha a etiqueta dev, staging, test, old ou admin. Raramente têm o reforço de segurança do seu site principal.

mobscan :: análise estática (.apk / .ipa) MOBSF

Escolha uma aplicação para analisar

nenhum aplicativo selecionado

// escolha uma aplicação acima e clique em «Iniciar análise» para iniciar a análise estática

O que isto realmente faz

Os verdadeiros pentesters móveis descompactam arquivos .apk / .ipa (que são apenas arquivos ZIP), descompilam o bytecode com ferramentas como jadx, apktool ou MobSF e, em seguida, procuram no código-fonte descompilado por segredos, endpoints e padrões inseguros.

Por que é importante

De acordo com o Relatório de Ameaças Móveis de 2025 da Zimperium, quase metade das aplicações móveis ainda contém segredos codificados, 60% das aplicações iOS não têm proteção contra engenharia reversa e 1 em cada 3 aplicações Android vaza dados confidenciais.

O que procuramos

Chaves e tokens de API codificados · Segredos da AWS/Stripe/Firebase · Endpoints privados do backend · Bandeiras de depuração ativadas · Certificado pinning desativado · Ausência de cabeçalhos de limite de taxa · allowBackup="true" · Atividades exported="true".

04 /

Serviços.
Para todas as superfícies de ataque.

Teste de penetração na Web

Testes de aplicações web e API seguindo a metodologia OWASP. SQLi, XSS, IDOR, SSRF, falhas lógicas — tudo o que um atacante poderia explorar.

— OWASP Top 10 + Lógica de Negócio
— Autenticado e não autenticado
— API / GraphQL / WebSocket
— Análise manual + automatizada

popular

Teste de penetração de rede

Perímetro externo e interno. Exploramos até onde um atacante pode chegar — a partir da Internet ou, uma vez já dentro do escritório.

— Externo e interno
— Comprometimento do AD / domínio
— Escalada de privilégios
— Movimento lateral

Equipa Vermelha

Simulação APT de âmbito completo. Engenharia social, phishing, acesso físico — testamos não só os sistemas, mas também o seu pessoal.

— TTPs do MITRE ATT&CK
— Phishing e vishing
— Intrusão física
— Colaboração com a Equipa Roxa

05 /

Porquê a PWN-ALL.

Não somos um scanner de vulnerabilidades. Somos uma equipa que pensa como um atacante. Cada projeto é liderado por engenheiros com experiência real em equipas vermelhas e programas de recompensa por bugs.

95%
das descobertas críticas surgem nas primeiras 2 semanas: 120+
empresas confiaram-nos a sua infraestrutura: 340+
CVE-s críticos documentados nos nossos relatórios: 72h
tempo máximo de resposta para pedidos urgentes

Risco vs. tempo — após o teste de penetração

elevadomédiobaixo

sem o teste de penetração o risco permanece consistentemente elevado — após a nossa auditoria diminui 78% no espaço de um mês.

06 /

Pronto para ver
a sua infraestrutura através dos olhos de um atacante?

Escreva-nos diretamente — sem formulários, sem burocracia. Consulta gratuita de 30 minutos, definição do âmbito e estimativa do prazo num prazo de um dia útil.

✓ Assinamos primeiro o acordo de confidencialidade
✓ Sem spam, sem chamadas não solicitadas
✓ Resposta em 24 horas

// escolha_um_canal

e-mail hello@pwn-all.com pgp

signal Canal encriptado

nda_first · resposta < 24h · sem_chamadas_de_vendas

Verificaremos se os atacantes invadem a sua empresa antes de si.

A analogia da casa

Ataque controlado

Relatório + correção

Âmbito e briefing

Reconhecimento e mapeamento

Exploração

Relatório

Reteste e suporte

—

—

Risco vs. tempo — após o teste de penetração

Pronto para vera sua infraestrutura através dos olhos de um atacante?

Pronto para ver
a sua infraestrutura através dos olhos de um atacante?