DOCUMENTAÇÃO

Documentação CyberDyne

Tudo o que você precisa para começar a varrer aplicações em produção, entender o que cada flag faz, interpretar os relatórios e operar dentro da legalidade. Direto ao ponto.

Visão geral

O que é o CyberDyne, em uma página.

CyberDyne é uma plataforma brasileira de pentest automatizado focada em aplicações web. Você fornece uma URL, escolhe um nível de profundidade, ativa as flags que fizerem sentido e o sistema executa um scan de segurança ofensivo em um container isolado, retornando um relatório técnico estruturado.

A ferramenta orquestra mais de 100 técnicas consagradas (subfinder, nuclei, sqlmap, ffuf, dalfox, interactsh, jwt_tool, etc.), aplica uma camada de inteligência artificial por cima através do The Council (orquestração de quatro agentes IA que geram payloads sob medida pela arquitetura detectada) e entrega o resultado em PDF executivo, JSON estruturado, dashboard HTML interativo e prompt_recall.md exclusivo.

lightbulbO que CyberDyne é

Pentest black-box automatizado para aplicações web em produção, executado a partir da internet pública. Identifica vulnerabilidades exploráveis e emite relatório com evidências, severity e recomendações.

do_not_disturb_onO que CyberDyne não é

Não é scanner de Active Directory, não audita configurações cloud por API (AWS, GCP, Azure), não acessa código-fonte, não é forense pós-incidente. Para esses cenários, use ferramentas dedicadas ou pentest manual.

Início rápido

Do cadastro ao primeiro scan em 5 minutos.

Crie sua conta

Cadastro gratuito em /cadastro. O plano Starter já vem ativo, com 1 scan LOW por mês. Sem cartão de crédito.

Aceite o Termo de Compromisso

Antes do primeiro scan, você precisa aceitar o Termo de Compromisso de Uso Ético e Autorizado. Leia com atenção: ele tem cobertura jurídica completa e responsabiliza você por scans em alvos sem autorização.

Acesse o Dashboard

Vá em /cyberdyne-scan. É a tela de comando do CyberDyne: histórico, status de scans em execução, créditos restantes e formulário de novo scan.

Configure o scan

Cole a URL do alvo (precisa ser HTTPS), escolha o nível de profundidade (LOW para teste rápido, INSANE para auditoria profunda), clique em Avançar e configure as flags. Cada flag respeita gates do seu plano.

Execute e acompanhe

Clique em Iniciar Varredura. O scan roda em container isolado, com progresso em tempo real. Ao concluir, baixe o relatório nos formatos liberados pelo seu plano.

verifiedPronto

Seu primeiro relatório fica armazenado por tempo definido pelo plano. Faça download, leia o sumário executivo, atue nos findings críticos e re-scane quando corrigir.

Planos e Assinaturas

Quatro tiers com escalada progressiva de poder.

Plano	Preço	Inclui	Ideal para
Starter	Grátis	1 scan LOW/mês · ECO LLM	Testar a ferramenta, projetos pessoais
Script Kiddie	R$ 100/mês	4 LOW + 4 EASY + 2 MEDIUM · Stealth, Browser Mimic, Fedora · ECO + MEDIUM LLM · 1 scan ativo	Devs solo, freelancers, projetos pequenos
WhiteHat	R$ 500/mês	10 LOW + 10 EASY + 8 MEDIUM + 3 HARD + 1 INSANE · WP, The Council, Login Verify, Shadow IT · ECO + MEDIUM + HIGH LLM · 3 scans ativos	Agências, times de produto, SaaS B2B
Pentester	R$ 1.500/mês	LOW/EASY/MEDIUM ilimitados + 15 HARD + 5 INSANE · OOB, KCC e HADES exclusivos · fila prioritária · 10 scans ativos	Pentesters profissionais, bug hunters, equipes de segurança

A assinatura pode ser cancelada a qualquer momento. Os créditos do plano resetam a cada ciclo (não acumulam). O downgrade preserva relatórios já armazenados, mas exige exclusão manual até bater no novo limite antes de iniciar novos scans.

Créditos e Recargas

Como o sistema de créditos funciona.

Créditos do plano (mensais)

Cada plano libera uma quantidade específica de scans por tier. Esses créditos resetam automaticamente no início de cada ciclo de cobrança e não acumulam entre meses. Se você não usar, perde.

Recargas avulsas (vitalícias)

Se quiser scans além do plano ou comprar avulso sem assinar, use as recargas. Diferente do plano, recargas nunca expiram e não resetam. Compre uma vez, use quando quiser, mesmo se cancelar a assinatura.

Tier	Preço unitário	Tempo médio	Profundidade
`LOW`	R$ 9	3 ~ 5 min	Smoke test, 38k payloads
`EASY`	R$ 19	15 ~ 30 min	OWASP Top 10 completo
`MEDIUM`	R$ 39	1 ~ 2 h	1.1M payloads, libera AI
`HARD`	R$ 69	3 ~ 6 h	Agressivo, 2.3M payloads
`INSANE`	R$ 99	20 ~ 60h+	Auditoria militar, 3.8M payloads

Combos com desconto

Pack Starter (3 LOW + 1 EASY) por R$ 35. Pack Pro (2 MEDIUM + 2 HARD) por R$ 165. Pack Pentester (3 HARD + 1 INSANE) por R$ 225. Mesma característica vitalícia das recargas avulsas.

Créditos de IA

Cada scan que ative o The Council consome 1 crédito de IA além do crédito de scan. O total de créditos de IA mensais é igual ao total de scans incluídos no plano. Pentester é ilimitado.

Ordem de consumo

O sistema consome primeiro os créditos do plano, depois os créditos de recarga avulsa. Assim você nunca queima recarga vitalícia se ainda tem crédito mensal sobrando.

Armazenamento de relatórios

Quanto cada plano guarda e como funciona o downgrade.

Plano	Limite	Formatos disponíveis
Starter	1 relatório	JSON
Script Kiddie	5 relatórios	JSON, PDF, prompt_recall.md
WhiteHat	15 relatórios	+ HTML dashboard imersivo
Pentester	50 relatórios	+ DOCX, CSV (planilha)

warningLimite atingido

Quando você bater no limite, o sistema bloqueia novos scans até você apagar relatórios antigos. Recomendamos fazer download local do PDF e JSON antes de excluir.

Como usar o Dashboard

A tela de comando do CyberDyne em /cyberdyne-scan.

O dashboard é dividido em três áreas principais:

Sidebar (esquerda): histórico de scans, busca por URL, filtros por status e tier. Cada item mostra score de risco e timestamp. Clique para abrir o relatório. Item exclusivo Re-Scan Automático abre painel próprio para criar agendamentos.
Painel central (Nova Varredura): input da URL alvo, seletor de intensidade (LOW → INSANE), botão Avançar que revela o painel de configuração.
Resultados em tempo real: ao iniciar um scan, o painel troca para HUD ofensivo com progresso por fase (7 etapas), donut de severidade, timeline ao vivo e cards de Council, Validator e HADES com feed de evidências.
Painel de configuração (após Avançar): toggles de tecnologias, The Council (com seletor de modelo LLM oculto até ativar), Login Verify com sub-campos URL/usuário/senha, Fedora URL para auditoria de dependências e profundidade do KCC.

infoBom saber

O dashboard respeita os gates do seu plano automaticamente: tecnologias acima do seu nível aparecem desabilitadas com tooltip "Disponível a partir do plano X". Não precisa lembrar nada de cor.

Níveis de scan (intensity)

Cada nível define quantos checks de vulnerabilidade rodam e qual percentual da wordlist de payloads é executado. Quanto mais profundo, mais cobertura e mais tempo.

Comparativo dos 5 níveis

Nível	Checks	Payloads	Requests	Tempo
`LOW`	15	~1%	~120-180	3 ~ 5 min
`EASY`	35	~10%	~400-600	15 ~ 30 min
`MEDIUM`	60	~30%	~1.000-2.500	1 ~ 2 h
`HARD`	90	~60%	~3.000-8.000	3 ~ 6 h
`INSANE`	145+	100%	~15.000-32.000	20 ~ 60h+

stairsCada nível inclui o anterior

Os checks são incrementais: MEDIUM roda tudo que LOW e EASY rodam, com mais checks adicionados. INSANE é o conjunto completo de 145+ checks core, mais browser mimic (17) e WordPress audit (15) quando aplicáveis.

LOW · Smoke test rápido

15 checks executados com cerca de 1% da wordlist. Confirma se a stack do alvo está acessível e se há os findings óbvios mais críticos. Use depois de cada deploy.

Cobre: SQL Injection error-based, SQL Injection time-based, XSS reflected, XSS stored, LFI / Path Traversal, Command Injection, SSRF, SSTI, JWT alg:none bypass, JWT weak secret, Broken Authentication, Hardcoded Secrets, Exposed .env files, Admin Panel exposto, Security Misconfiguration de headers.

EASY · OWASP Top 10 completo

35 checks com cerca de 10% dos payloads. Ideal para ciclo de QA contínuo em aplicações pequenas e médias. Cobertura OWASP Top 10 completa, mais autenticação, cloud básico e DNS.

Adiciona ao LOW: XSS DOM-based, IDOR, CSRF, OAuth redirect_uri, OAuth implicit flow, CORS misconfiguration, Open Redirect, Host Header Injection, XXE, NoSQL Injection, GraphQL introspection, Race Condition, Prototype Pollution, Mass Assignment, SPF/DMARC/DKIM, Default Credentials, Clickjacking, CSP fraca (com 11 sub-checks granulares), HSTS, Dependency Confusion.

MEDIUM · Cobertura BaaS, Cloud e CVEs

60 checks com cerca de 30% dos payloads. Aqui entra a profundidade real: auditoria de Supabase RLS, Firebase Rules, AWS S3, GraphQL avançado, smuggling, cache poisoning, CVE de bibliotecas. Use antes de release importante.

Adiciona ao EASY: Supabase RLS Audit, Supabase service_role exposto, Firebase Rules permissivas, Firebase API Key, Firebase Storage sem auth, AWS S3 público, Cognito misconfig, SSRF Cloud Metadata, Wayback JS Leakage, JS Libraries Vulneráveis (Retire.js), CVE Scan de componentes, HTTP Request Smuggling, Cache Poisoning, Cryptographic Failures, TLS/SSL misconfiguration, Session Fixation, Insecure Cookie Flags, Password Reset Token fraco, 2FA / OTP Bypass, Account Enumeration, Credential Stuffing, Zone Transfer (AXFR), Subdomain Takeover, Git/SVN Repo exposto, Backup files expostos.

HARD · Pentest completo balanceado

90 checks com cerca de 60% dos payloads. Modo agressivo: WAF bypass massivo, 403 bypass, exploração de RCE, SQLi avançada, GraphQL DoS, KID injection, prompt injection. Cobre quase tudo exceto edge cases obscuros.

Adiciona ao MEDIUM: WAF Bypass (120 payloads × 5 zonas × 5 encodings), 403 Bypass, Log4Shell e CVEs críticos, Insecure Deserialization (RCE), BOLA API, GraphQL DoS, GraphQL Injection, GraphQL CSRF, JWT KID injection, RBAC insuficiente, AI Prompt Injection (35 payloads em 8 categorias), LLM Data Leakage, Broken Access Control profundo, SQLi Boolean Blind, SQLi UNION-Based, Second-Order SQL Injection, Null Byte Injection, Format String, XPath Injection, LDAP Injection, CRLF Injection / HTTP Splitting, API Docs expostos (Swagger/OpenAPI), Paths sensíveis (250+ paths Nuclei-style), HTTP Parameter Pollution, WebSocket Hijacking estático, Web Cache Deception, DNS Rebinding, Dangling DNS Records, postMessage / iframe inseguro.

INSANE · Auditoria militar completa

145+ checks core com 100% dos payloads. Sem piedade: cobertura máxima absoluta, incluindo todos os edge cases, business logic complexa, brute force, ReDoS, fuzzing massivo de API.

Adiciona ao HARD: RFI (Remote File Inclusion), Insufficient Logging & Monitoring, Insecure Password Policy, Missing Rate Limiting, Auth Bypass via Parameter Tampering, Insecure Regex / ReDoS, Amplify GraphQL sem auth, security.txt incompleto, JS Source Map exposto, robots.txt / sitemap leakage, REST API Versioning Bypass, HTTP Method Override, NGINX/Apache Alias Traversal, SSRF Blind out-of-band, Zip Slip, Information Disclosure Headers, Directory Listing, Insecure Password Change, Privilege Escalation Horizontal, Privilege Escalation Vertical, Negative Value / Price Manipulation, Coupon / Promo Code Abuse, Business Logic Errors (165 vetores), Cloud Storage Enumeration, API Key em URL/Logs, DoS via Large Payload, Brute Force, File Upload sem validação, API Mega Fuzzer (320 params × 50 endpoints).

scheduleJanela de execução

HARD pode disparar WAFs do alvo. INSANE pode rodar por 20 a 60+ horas. Combine com a equipe de ops do alvo antes de rodar em produção em horário de pico.

Escopo vs. Intensidade do Payload

A partir da v1.4 do scanner, o tier deixou de combinar escopo e payload num único parâmetro. Hoje são dois eixos independentes:

Escopo (--script-<tier>): define quais vulnerabilidades serão testadas. Vem direto do tier escolhido (LOW = 15 checks, EASY = 35, MEDIUM = 60, HARD = 90, INSANE = 145+). Não é editável separadamente.
Intensidade do payload (--<low|easy|medium|hard|insane>): define quantos payloads por check serão enviados. Para LOW/EASY/MEDIUM, casa automaticamente com o tier. Para HARD e INSANE, o painel de configuração abre uma etapa extra onde você escolhe a intensidade desejada (de LOW a INSANE).

Exemplo prático: --script-insane --low roda o catálogo completo de 145+ checks da auditoria militar, mas com payload mínimo (1-3 tentativas por check). Útil pra reconhecimento amplo sem disparar alertas de WAF. O inverso, --script-hard --insane, roda só os 90 checks de pentest completo mas com payload máximo em cada um, ideal pra auditoria profunda em alvo focado.

tuneQuando o seletor aparece

O painel "Intensidade do Payload" só fica visível quando você seleciona HARD ou INSANE no tier. Em LOW, EASY e MEDIUM, payload e escopo permanecem casados (comportamento padrão da v1.3 e anterior, sem necessidade de configurar).

Flags disponíveis

Cada flag ativa um conjunto específico de técnicas. Escolha as que fizerem sentido para a arquitetura do alvo.

--wp

WordPress detection

Identifica e enumera instalações WordPress: plugins vulneráveis, temas com CVE, usuários expostos, backups inseguros, XML-RPC mal configurado.

Plano: WhiteHat+ · Sempre ativo

--stealth

Scan furtivo

Timing aleatório, rotação de identidade, padrões anti-WAF. Reduz a chance de bloqueio por firewall ou disparo de alertas no SIEM do alvo.

Plano: Script Kiddie+ · Sempre ativo nos pagos

--browser-mimic-ns

Browser Mimic

Abre Playwright headless com anti-fingerprinting e simulação humana. Detecta vulnerabilidades que só aparecem quando o JS executa no DOM (DOM XSS, postMessage, prototype pollution).

Plano: Script Kiddie+ · Tier mínimo: MEDIUM · Sempre ativo

--council

The Council

Quatro agentes IA especializados (The Boss, Anastasia, Azrael, Rizler) analisam o alvo em paralelo e consolidam payloads multi-perspectiva. Metodologia exclusiva CyberDyne.

Plano: WhiteHat+

--login-verify

Auditoria autenticada: brute force inteligente, account enumeration, password reset abuse, falhas de 2FA, lógica de autenticação. Exige URL de login + credencial de teste.

Plano: WhiteHat+

--shadow-it

Shadow IT discovery

AST extraction de JS minificado, 107 patterns de webhook leaks (Stripe, Twilio, SendGrid, Slack, AWS, etc), bucket brute-force em S3, GCS, Azure Blob e DO Spaces (~200 sufixos por hostname).

Plano: WhiteHat+ · Tier mínimo: MEDIUM · Sempre ativo no Pentester

--fedora-url

Fedora · Auditoria de dependências efêmera

Recebe URL pública de repositório (GitHub/GitLab/Bitbucket), clona em pasta temporária, audita 15+ ecossistemas (npm, PyPI, Maven, Cargo, Go, RubyGems, etc), correlaciona CVEs via OSV.dev e classifica deps. Clone removido ao final, zero resíduo.

Plano: Script Kiddie+

--oob

Out-of-Band Interactsh

Detecta vulnerabilidades blind via callback externo: SSRF, XXE, Log4Shell, RCE que não retornam evidência na resposta HTTP. Usa servidor Interactsh dedicado.

Plano: Pentester exclusivo

--kcc

Kill Chain Chaining

Orquestrador pós-exploração que correlaciona findings em cadeias de ataque end-to-end (SSRF→IMDS→AWS→S3 takeover, JWT none→admin, IDOR→PII enum, Supabase service_role→RLS bypass). 14 transições codificadas com confidence score e narrativa textual.

Plano: Pentester exclusivo · Tier mínimo: HARD

--orquestrator

HADES · Juiz empírico de findings

Orquestrador final que valida cada finding contra evidência real coletada em runtime. Classifica como CONFIRMED, LIKELY_FP ou INCONCLUSIVE com justificativa textual. Reduz falso-positivo do relatório a quase zero.

Plano: Pentester exclusivo · Sempre ativo

Vulnerabilidades suportadas

Lista completa: 145 checks core + 14 sub-checks de headers + 17 client-side + 15 WordPress = 191 vulnerabilidades únicas. Organizadas por categoria.

Injection (17)

ID	Vulnerabilidade
`001`	SQL Injection Error-Based
`002`	SQL Injection Time-Based Blind
`003`	XSS Reflected
`004`	XSS Stored
`005`	XSS DOM-based
`008`	LFI / Path Traversal
`009`	RFI (Remote File Inclusion)
`010`	OS Command Injection
`011`	SSRF
`012`	XXE (XML External Entity)
`020`	SSTI (Server-Side Template Injection)
`072`	NoSQL Injection
`108`	SQLi Boolean Blind
`109`	SQLi UNION-Based
`114`	Null Byte Injection
`115`	Format String Vulnerability
`116`	Second-Order SQL Injection

Autenticação e Controle de Acesso (10)

ID	Vulnerabilidade
`006`	CSRF (Cross-Site Request Forgery)
`007`	IDOR (Insecure Direct Object Reference)
`013`	Broken Authentication / Session
`014`	Broken Access Control (BOLA)
`015`	Security Misconfiguration
`016`	Vulnerable & Outdated Components (CVE Scan)
`017`	Cryptographic Failures
`018`	Insecure Deserialization
`019`	Insufficient Logging & Monitoring
`113`	JS Libraries Vulneráveis (Retire.js)

IA, JWT e Lógica (15)

ID	Vulnerabilidade
`021`	JWT Signature Bypass (alg:none + null sig)
`022`	JWT Weak Secret (HS256/384/512)
`023`	JWT Advanced (JWKS + KID injection)
`024`	RBAC Insuficiente
`025`	Hardcoded API Keys / Secrets
`026`	AI Prompt Injection
`027`	LLM Data Leakage
`028`	Race Condition / TOCTOU
`029`	Mass Assignment
`030`	Insecure Password Policy
`031`	Missing Rate Limiting
`032`	Auth Bypass via Parameter Tampering
`033`	Insecure Regex / ReDoS
`034`	Dependency Confusion
`035`	Prototype Pollution (JavaScript)

BaaS e Cloud (10)

ID	Vulnerabilidade
`036`	Supabase RLS Audit
`037`	Supabase service_role Exposto
`038`	Firebase Rules Permissivas
`039`	Firebase API Key Exposta
`040`	Firebase Storage sem Autenticação
`041`	AWS S3 Bucket Público
`042`	AWS Cognito Misconfiguration
`043`	Amplify GraphQL sem Auth
`044`	Exposed .env / Config Files
`045`	Metadata Endpoint SSRF (Cloud IMDS)

Recon e DNS (10)

ID	Vulnerabilidade
`046`	Subdomain Takeover
`047`	Dangling DNS Records
`048`	Zone Transfer (AXFR)
`049`	DNS Rebinding
`050`	SPF / DMARC / DKIM Ausente ou Fraco
`051`	Exposed Admin Panel / Dev Tools
`052`	Git / SVN Repo Exposto
`053`	Backup Files Expostos
`054`	JS Source Map Exposto (.map)
`055`	robots.txt / sitemap leakage

Infraestrutura e Protocolo (23)

ID	Vulnerabilidade
`056`	Open Redirect
`057`	Host Header Injection
`058`	HTTP Request Smuggling (CL.TE)
`059`	Cache Poisoning
`060`	CORS Misconfiguration
`061`	GraphQL Security Audit
`062`	GraphQL DoS Audit
`063`	GraphQL Injection
`064`	REST API Versioning Bypass
`065`	HTTP Method Override
`066`	NGINX / Apache Alias Traversal
`067`	WebSocket Hijacking (estático)
`068`	OAuth redirect_uri Manipulation
`069`	OAuth Implicit Flow Token Exposure
`070`	Clickjacking
`071`	SSRF Blind (Out-of-Band)
`073`	LDAP Injection
`074`	XPath Injection
`075`	CRLF Injection / HTTP Splitting
`104`	HTTP Parameter Pollution (HPP)
`110`	GraphQL CSRF Audit
`111`	WAF Bypass Audit
`112`	403 Bypass

Lógica de Negócio (18)

ID	Vulnerabilidade
`076`	File Upload sem Validação
`077`	Zip Slip (Path Traversal via Zip)
`078`	Insecure Cookie Flags
`079`	Information Disclosure via Headers
`080`	Directory Listing Habilitado
`081`	Credential Stuffing sem Proteção
`082`	Account Enumeration
`083`	Password Reset Token Fraco
`084`	2FA / OTP Bypass
`085`	Insecure Password Change
`086`	Privilege Escalation Horizontal
`087`	Privilege Escalation Vertical
`088`	Negative Value / Price Manipulation
`089`	Coupon / Promo Code Abuse
`090`	Business Logic Errors
`091`	Cloud Storage Enumeration
`092`	API Key em URL / Logs
`117`	Session Fixation

Avançado (15)

ID	Vulnerabilidade
`093`	JS Secrets / API Keys Expostas
`094`	TLS / SSL Misconfiguration
`095`	HSTS Ausente ou max-age Fraco
`096`	Content Security Policy Fraca
`097`	Insecure postMessage / iframe
`098`	DoS via Large Payload
`099`	Log4Shell / Known Critical CVEs
`100`	Insecure Direct API Object (BOLA)
`101`	Brute Force (Passcrack)
`102`	Paths Sensíveis Expostos (250+ paths)
`103`	API Docs Expostos (Swagger / OpenAPI)
`105`	Credenciais Padrão
`106`	Insecure Deserialization (RCE)
`107`	Web Cache Deception (WCD)
`118`	API Mega Fuzzer

Headers de Segurança Granulares (14 sub-checks)

ID	Vulnerabilidade
`119`	HSTS includeSubDomains Ausente
`120`	HSTS preload Ausente
`121`	CSP default-src Ausente / Inseguro
`122`	CSP script-src Granular
`123`	CSP object-src Ausente / Não 'none'
`124`	CSP base-uri Ausente / Inseguro
`125`	CSP form-action Ausente / Inseguro
`126`	CSP img-src Ausente
`127`	CSP style-src Ausente / Inseguro
`128`	CSP media-src Ausente
`129`	CSP frame-src Ausente
`130`	CSP font-src Ausente
`131`	CSP connect-src Ausente / Inseguro
`132`	CORS Allow-Methods Perigoso

security.txt

ID	Vulnerabilidade
`133`	security.txt Incompleto / Inválido (RFC 9116)

Browser Mimic · Vulnerabilidades client-side (17)

Vulnerabilidades que só aparecem quando JavaScript executa no DOM real. Detectadas com Playwright headless e anti-fingerprinting. A partir do plano WhiteHat.

ID	Vulnerabilidade
`201`	DOM XSS Real (execução JS via console)
`202`	AI-Output Injection (HTML em chat bots)
`203`	Prototype Pollution Real
`204`	Storage Leak (JWT / AWS / Stripe em localStorage)
`205`	SPA Hidden Routes (admin em React / Next / Vue)
`206`	Clickjacking Real (iframe testado)
`207`	WebSocket Hijacking Real (cross-origin)
`208`	Service Worker Spy
`209`	Clipboard Hijacking
`210`	Form Autofill Theft
`211`	CSP Bypass Real
`212`	Cookie Theft via JS
`213`	Keylogger Detection
`214`	Redirect Chain Suspeito
`215`	Shadow DOM Leak
`216`	Network Exfiltration
`217`	DOM Clobbering

WordPress Audit (15)

Disparado quando WordPress é detectado no alvo. A partir do plano Script Kiddie.

ID	Vulnerabilidade
`301`	Versão WordPress Exposta
`302`	WordPress Core com CVE Ativo
`303`	Enumeração de Usuários (REST API + sitemap)
`304`	Plugin Vulnerável (CVE)
`305`	XML-RPC Ativo (brute-force + DoS)
`306`	Tema Vulnerável (CVE)
`307`	XML-RPC User Brute-Force
`308`	Login Username Enumeration
`309`	Debug Log Exposto
`310`	WP-Cron Exposto (DoS)
`311`	Directory Listing (wp-content / uploads)
`312`	Registro Aberto ao Público
`313`	Backup do wp-config Exposto
`314`	REST API sem Restrição
`315`	Arquivos de Informação Expostos

Alvos compatíveis

Que tipo de aplicação o CyberDyne consegue analisar bem.

CyberDyne é black-box web: opera sobre HTTP(S) público, sem acesso a código-fonte, sem credenciais cloud, sem rede interna. Funciona muito bem em:

SaaS B2B e dashboards (React, Vue, Angular, Svelte, Next.js, Nuxt, Remix, SvelteKit).
E-commerces (Shopify customizado, VTEX, Magento, WooCommerce, Shoplazza, plataformas headless).
APIs REST e GraphQL (Node, Python, Go, Ruby, PHP, Java/Spring, .NET, Elixir).
BaaS Frontends (Supabase, Firebase, Appwrite, Hasura): detecta RLS bypass, regras inseguras e service_role exposta.
Sites institucionais e landing pages (Astro, Hugo, Jekyll, Next, WordPress, Webflow, Framer).
Aplicações low-code (Bubble, Webflow, Framer, Softr, Tilda), quando expostas à internet pública.
Subdomínios staging/dev esquecidos com autenticação fraca.

blockAlvos não suportados

Active Directory, infra cloud por API (precisa de credenciais), redes internas via VPN, aplicações desktop offline, mobile native (apenas a API exposta delas), forense pós-incidente.

Vibe Coding · O foco principal

Por que aplicações geradas por IA são o terreno fértil do CyberDyne.

Vibe coding é o termo popularizado em 2024-2025 para desenvolvimento conduzido majoritariamente por IA: ChatGPT, Claude, Cursor, Lovable, V0, Bolt, Replit Agent. O desenvolvedor descreve o que quer e a IA escreve o código. O resultado é veloz, mas tem um perfil de risco específico:

Validação superficial: IA tende a aceitar input do usuário sem sanitizar, especialmente em endpoints menos óbvios.
RLS mal configurado: Supabase/Firebase com regras genéricas tipo auth.role() = 'authenticated' que não limitam por dono do recurso.
Service role exposto: IA frequentemente sugere usar service_role no front-end por "simplicidade".
CORS aberto demais: Access-Control-Allow-Origin: * com cookies em endpoints autenticados.
JWT sem validação: APIs aceitando JWT com alg: none ou sem verificar assinatura.
Endpoints administrativos esquecidos: /admin, /api/internal, /debug deixados sem guard.
Secrets em .env exposto: deploy sem .gitignore apropriado, .env servido publicamente.
SQL não parametrizado: string concatenation em queries que IA escreveu rapidamente.

O CyberDyne foi construído para essa nova classe de aplicações. As 14 transições do Kill Chain Chaining, os 107 patterns de webhook leaks do Shadow IT, os checks específicos de Supabase RLS bypass, JWT none e IDOR em APIs com auth.user.id no body: tudo foi calibrado para encontrar o que o vibe coding deixa passar.

targetO alvo prioritário

Se você lançou um produto em poucas semanas usando IA para escrever código, o CyberDyne é a primeira camada de auditoria que você deveria rodar antes de abrir o cadastro ao público. Não é alarmismo: é higiene básica.

OOB e Browser Mimic em detalhe

Duas tecnologias que separam scan superficial de pentest real.

Out-of-Band (OOB) com Interactsh

Vulnerabilidades blind não retornam evidência na resposta HTTP: você dispara o exploit e a aplicação responde "200 OK" mesmo quando foi explorada. SSRF interna, XXE blind, Log4Shell, RCE em jobs assíncronos. A única forma de confirmar é ter um servidor externo que recebe a chamada quando o payload executa.

CyberDyne integra Interactsh (servidor próprio dedicado) e injeta payloads que, se exploitados, fazem o servidor da vítima abrir conexão com nosso Interactsh. Capturamos a chamada (DNS, HTTP, SMTP) e confirmamos a vuln com evidência irrefutável. Zero falso positivo nessa categoria.

Browser Mimic com Playwright

SPAs modernas (React, Vue, Next.js) renderizam tudo no client. Um scanner que só faz curl recebe um HTML quase vazio com 50KB de bundle JS. Vulnerabilidades client-side (DOM XSS, prototype pollution, postMessage sinks) são invisíveis sem executar o JS.

Browser Mimic abre Chromium real headless via Playwright, com 17 técnicas anti-fingerprinting (User-Agent realista, plugins, WebGL, canvas, fonts, timing humano), navega o alvo, executa o JS, intercepta DOM mutations, monitora postMessage, faz taint analysis em tempo real e reporta o que só apareceu depois da execução.

Relatórios entregues

Cinco formatos, cada um para um caso de uso específico.

Formato	Pra que serve	Plano mínimo
JSON	Integração com seu pipeline (CI/CD, SIEM, ticketing). Estrutura normalizada por severity, CVSS, MITRE.	Starter
PDF executivo	Apresentar para CTO, board, investidores e auditores. Inclui Carta de Atestado assinada com hash SHA-256.	Script Kiddie
prompt_recall.md	Markdown estruturado para alimentar LLM e continuar a análise. Único no mercado.	Script Kiddie
HTML dashboard imersivo	Página interativa para explorar findings, filtrar por categoria e visualizar evidências.	WhiteHat
DOCX	Word editável para customizar antes de enviar ao cliente final.	Pentester
CSV	Planilha para triagem em massa e agrupamento por equipe responsável.	Pentester

Cada finding vem com: severity (CRITICAL/HIGH/MEDIUM/LOW/INFO), CVSS 3.1 vector completo, CWE ID, MITRE ATT&CK technique, request bruta usada, response capturada, screenshot quando aplicável, PoC reprodutível e recomendação de correção.

Uso ético e legal

A regra de ouro do pentest.

Só execute o CyberDyne contra alvos dos quais você é proprietário ou tem autorização formal por escrito para testar. Pentest não autorizado é crime no Brasil pelo Art. 154-A do Código Penal (Lei 12.737/2012, "Lei Carolina Dieckmann"), com pena de detenção de 3 meses a 1 ano e multa, agravada se houver obtenção de informação ou prejuízo econômico.

Antes do primeiro scan, você aceita o Termo de Compromisso de Uso Ético e Autorizado, que registra IP, user-agent, hash SHA-256 e timestamp do aceite. Esse registro tem validade jurídica plena (MP 2.200-2/2001) e é suficiente como prova em juízo.

A BuildCode coopera ativamente com investigações legítimas. Mantemos logs completos de scans (URL alvo, timestamp, IP de origem, intensidade, flags ativadas, identificador do usuário) por 12 meses e fornecemos a autoridades competentes mediante requisição judicial fundamentada.

warningVedado mesmo com autorização do proprietário

Infraestrutura crítica governamental (gov.br, mil.br, jus.br), sistemas hospitalares, instituições financeiras reguladas pelo Bacen/B3/CVM, sistemas eleitorais (TSE), concessionárias de serviços essenciais. Pra esses casos, fale com a equipe BuildCode antes.