Pular para o conteúdo
Começar
PRODUTOS . PLANOS . RECARGAS

Pentest contínuo.
Qualidade certificada.

Escolha o produto. Assine um plano ou compre crédito avulso. Built no Brasil. Conformidade LGPD. Cancele quando quiser.

Planos mensais

Recorrência fixa, créditos resetados todo mês, agentes IA escalando por plano.

Starter
Pra testar o motor
R$ 0 /mês
  • LOW 1 scans
Tecnologias
Sem flags avançadas
Exportação
  • download JSON
Metodologia e re-scan
  • layers 1 scan ativo por vez Limite de 1 scan ativo por vez. Aguarde o atual concluir antes de iniciar outro.
  • memory 1 créditos de IA / mês Créditos de IA são consumidos quando o scan usa The Council. 1 crédito = 1 scan. Para tirar dúvida com Trinity ou agentes, NÃO consome crédito.
  • tune Modelos: ECO Modelos ECO: rápidos, baratos, suficientes para scans simples. Liberados em todos os planos.
  • archive Armazena 1 relatório Quantidade máxima de relatórios de scans armazenados (PDF, JSON, HTML, prompt_recall.md). Quando o limite é atingido, você precisa apagar relatórios antigos para rodar scans novos. Downgrade preserva os arquivos já guardados.
Script Kiddie
Devs solo e freelancers
R$ 100 /mês
  • LOW 4 scans
  • EASY 4 scans
  • MEDIUM 2 scans
  • SERENITY 5 scans QA
Tecnologias
  • Scan furtivo Roda o scan com timing aleatório, rotação de identidade e padrões anti-WAF. Reduz a chance de ser bloqueado por firewall ou disparar alertas. ⭐⭐ sempre ativo
  • Fedora · audit de dependências Auditoria efêmera de dependências de repositório público (GitHub, GitLab, Bitbucket). Suporta 15+ ecossistemas (npm, PyPI, Maven, Cargo, Go, RubyGems, etc), correlaciona CVEs via OSV.dev e classifica deps como CRITICAL→LOW. Clone temporário, zero resíduo no disco. ⭐⭐⭐
  • Browser mimic Abre um navegador real headless com anti-fingerprinting e simulação humana. Detecta vulnerabilidades que só aparecem quando o JavaScript executa no DOM. ⭐⭐⭐ sempre ativo
Exportação
  • download JSON
  • download PDF executivo
  • download prompt_recall.md
Metodologia e re-scan
  • layers 1 scan ativo por vez Limite de 1 scan ativo por vez. Aguarde o atual concluir antes de iniciar outro.
  • memory 10 créditos de IA / mês Créditos de IA são consumidos quando o scan usa The Council. 1 crédito = 1 scan. Para tirar dúvida com Trinity ou agentes, NÃO consome crédito.
  • tune Modelos: ECO + MEDIUM Modelos ECO: rápidos, baratos, suficientes para scans simples. Liberados em todos os planos. Modelos MEDIUM: mais inteligentes, geram payloads mais variados. Liberados a partir do Script Kiddie.
  • archive Armazena 5 relatórios Quantidade máxima de relatórios de scans armazenados (PDF, JSON, HTML, prompt_recall.md). Quando o limite é atingido, você precisa apagar relatórios antigos para rodar scans novos. Downgrade preserva os arquivos já guardados.
MAIS POPULAR
WhiteHat
Agências e times de desenvolvimento
R$ 500 /mês
  • LOW 10 scans
  • EASY 10 scans
  • MEDIUM 8 scans
  • HARD 3 scans
  • INSANE 1 scans
  • SERENITY 15 scans QA
Tecnologias
  • WordPress detection Identifica e enumera instalações WordPress: plugins vulneráveis, temas com CVE, usuários expostos, backups inseguros e XML-RPC mal configurado. sempre ativo
  • Scan furtivo Roda o scan com timing aleatório, rotação de identidade e padrões anti-WAF. Reduz a chance de ser bloqueado por firewall ou disparar alertas. ⭐⭐ sempre ativo
  • Fedora · audit de dependências Auditoria efêmera de dependências de repositório público (GitHub, GitLab, Bitbucket). Suporta 15+ ecossistemas (npm, PyPI, Maven, Cargo, Go, RubyGems, etc), correlaciona CVEs via OSV.dev e classifica deps como CRITICAL→LOW. Clone temporário, zero resíduo no disco. ⭐⭐⭐ sempre ativo
  • Browser mimic Abre um navegador real headless com anti-fingerprinting e simulação humana. Detecta vulnerabilidades que só aparecem quando o JavaScript executa no DOM. ⭐⭐⭐ sempre ativo
  • Login verify Auditoria completa de portais de login: brute force inteligente, account enumeration, password reset abuse, falhas de 2FA e vulnerabilidades específicas de páginas de autenticação. ⭐⭐⭐⭐ sempre ativo
  • Shadow IT discovery Descoberta de superfície oculta: AST extraction de JS minificado pra revelar endpoints escondidos em template literals, 107 patterns regex pra webhook leaks (Stripe/Twilio/SendGrid/Slack/Discord/AWS/Vercel/etc) e bucket brute-force em S3, GCS, Azure Blob e DO Spaces com ~200 sufixos por hostname. ⭐⭐⭐⭐
Exportação
  • download JSON
  • download PDF executivo
  • download prompt_recall.md
  • download Dashboard imersivo (.html)
Metodologia e re-scan
  • tune Payload customizável em Hard e Insane Diferencial exclusivo do WhiteHat e Pentester: ao escolher tier Hard ou Insane, abre seletor pra definir intensidade do payload (low/easy/medium/hard/insane) separado do escopo. Permite combinações como --script-insane --low (catálogo completo de 145+ checks com payload mínimo, ideal pra recon amplo sem disparar WAF) ou --script-hard --insane (90 checks com payload máximo, auditoria profunda focada). Indisponível em Starter e Script Kiddie (esses planos não têm acesso a Hard/Insane).
  • auto_fix The Council Metodologia exclusiva CyberDyne: os 4 agentes analisam a arquitetura do alvo e geram payloads personalizados sob medida, aumentando drasticamente a chance de encontrar vulnerabilidades reais.
  • mail Re-scan automático semanal Re-scan EASY automático: o CyberDyne escaneia novamente cada URL monitorada toda semana e envia o diff por email.
  • layers Até 3 scans simultâneos Até 3 scans simultâneos. Ideal pra times pequenos rodando em paralelo.
  • memory 32 créditos de IA / mês Créditos de IA são consumidos quando o scan usa The Council. 1 crédito = 1 scan. Para tirar dúvida com Trinity ou agentes, NÃO consome crédito.
  • tune Modelos: ECO + MEDIUM + HIGH Modelos ECO: rápidos, baratos, suficientes para scans simples. Liberados em todos os planos. Modelos MEDIUM: mais inteligentes, geram payloads mais variados. Liberados a partir do Script Kiddie. Modelos HIGH: o melhor disponível (Claude Opus, Gemini Pro, GPT-5.3). Liberado a partir do WhiteHat.
  • archive Armazena 15 relatórios Quantidade máxima de relatórios de scans armazenados (PDF, JSON, HTML, prompt_recall.md). Quando o limite é atingido, você precisa apagar relatórios antigos para rodar scans novos. Downgrade preserva os arquivos já guardados.
Pentester
Pentesters e bug hunters
R$ 1500 /mês
  • LOW scans
  • EASY scans
  • MEDIUM scans
  • HARD 15 scans
  • INSANE 5 scans
  • SERENITY scans QA
Tecnologias
  • WordPress detection Identifica e enumera instalações WordPress: plugins vulneráveis, temas com CVE, usuários expostos, backups inseguros e XML-RPC mal configurado. sempre ativo
  • Scan furtivo Roda o scan com timing aleatório, rotação de identidade e padrões anti-WAF. Reduz a chance de ser bloqueado por firewall ou disparar alertas. ⭐⭐ sempre ativo
  • Fedora · audit de dependências Auditoria efêmera de dependências de repositório público (GitHub, GitLab, Bitbucket). Suporta 15+ ecossistemas (npm, PyPI, Maven, Cargo, Go, RubyGems, etc), correlaciona CVEs via OSV.dev e classifica deps como CRITICAL→LOW. Clone temporário, zero resíduo no disco. ⭐⭐⭐ sempre ativo
  • Browser mimic Abre um navegador real headless com anti-fingerprinting e simulação humana. Detecta vulnerabilidades que só aparecem quando o JavaScript executa no DOM. ⭐⭐⭐ sempre ativo
  • Login verify Auditoria completa de portais de login: brute force inteligente, account enumeration, password reset abuse, falhas de 2FA e vulnerabilidades específicas de páginas de autenticação. ⭐⭐⭐⭐ sempre ativo
  • Shadow IT discovery Descoberta de superfície oculta: AST extraction de JS minificado pra revelar endpoints escondidos em template literals, 107 patterns regex pra webhook leaks (Stripe/Twilio/SendGrid/Slack/Discord/AWS/Vercel/etc) e bucket brute-force em S3, GCS, Azure Blob e DO Spaces com ~200 sufixos por hostname. ⭐⭐⭐⭐ sempre ativo
  • Out-of-Band Interactsh Detecta vulnerabilidades blind via callback externo: SSRF, XXE, Log4Shell e RCE que não retornam evidência na resposta HTTP. Exclusivo do plano Pentester. ⭐⭐⭐⭐⭐ sempre ativo
  • Kill Chain Chaining Orquestrador pós-exploração que correlaciona findings em cadeias de ataque end-to-end (SSRF→IMDS→AWS→S3 takeover, JWT none→admin, IDOR→PII enum, Supabase service_role→RLS bypass). 14 transições codificadas com confidence score e narrativa textual no relatório. Exclusivo Pentester · HARD+. ⭐⭐⭐⭐⭐
  • HADES Orchestrator ✦ O juiz empírico do CyberDyne. Pós-validador que pega cada finding crítico ou alto e dispara até 3 requests adicionais customizadas para confirmar se o bug existe de fato. Emite veredicto CONFIRMED, LIKELY_FP ou INCONCLUSIVE com nível de confiança e evidência textual. Elimina semanas de filtragem manual de falsos positivos. Sempre ativo no Pentester. ⭐⭐⭐⭐⭐ sempre ativo
Exportação
  • download JSON
  • download PDF executivo
  • download prompt_recall.md
  • download Word (.docx)
  • download Dashboard imersivo (.html)
  • download Planilha (.csv)
Metodologia e re-scan
  • tune Payload customizável em Hard e Insane Diferencial exclusivo do WhiteHat e Pentester: ao escolher tier Hard ou Insane, abre seletor pra definir intensidade do payload (low/easy/medium/hard/insane) separado do escopo. Permite combinações como --script-insane --low (catálogo completo de 145+ checks com payload mínimo, ideal pra recon amplo sem disparar WAF) ou --script-hard --insane (90 checks com payload máximo, auditoria profunda focada). Indisponível em Starter e Script Kiddie (esses planos não têm acesso a Hard/Insane).
  • auto_fix The Council Metodologia exclusiva CyberDyne: os 4 agentes analisam a arquitetura do alvo e geram payloads personalizados sob medida, aumentando drasticamente a chance de encontrar vulnerabilidades reais.
  • mail Re-scan automático: diário, semanal ou mensal Re-scan EASY automático com frequência configurável: você escolhe diário, semanal ou mensal por URL monitorada.
  • layers Até 10 scans simultâneos Até 10 scans simultâneos. Pra agências e operações grandes.
  • memory ∞ créditos de IA / mês Créditos de IA são consumidos quando o scan usa The Council. 1 crédito = 1 scan. Para tirar dúvida com Trinity ou agentes, NÃO consome crédito.
  • tune Modelos: ECO + MEDIUM + HIGH Modelos ECO: rápidos, baratos, suficientes para scans simples. Liberados em todos os planos. Modelos MEDIUM: mais inteligentes, geram payloads mais variados. Liberados a partir do Script Kiddie. Modelos HIGH: o melhor disponível (Claude Opus, Gemini Pro, GPT-5.3). Liberado a partir do WhiteHat.
  • archive Armazena 50 relatórios Quantidade máxima de relatórios de scans armazenados (PDF, JSON, HTML, prompt_recall.md). Quando o limite é atingido, você precisa apagar relatórios antigos para rodar scans novos. Downgrade preserva os arquivos já guardados.

Recargas únicas

Compre crédito avulso ou combos com desconto. Sem assinatura, sem renovação.

Pack Starter
R$ 35 −24%
  • LOW
  • EASY
Pack Pro
R$ 165 −24%
  • MEDIUM
  • HARD
Pack Pentester
R$ 225 −26%
  • HARD
  • INSANE

Recarga personalizada

Escolha o tier e a quantidade. Pague via PIX, boleto ou cartão.

Total R$ 9
VOCÊ NÃO QUER LER ISSO. MAS PRECISA.

Existe um relógio rodando contra
a sua aplicação agora.

Enquanto você lê esta página, bots automatizados estão varrendo o intervalo de IPs onde o seu domínio está hospedado. Eles não dormem. Não tiram folga. Não pedem permissão. Eles só procuram a brecha que você ainda não fechou.

39seg

é o intervalo médio entre tentativas de invasão em servidores expostos na internet, segundo Universidade de Maryland. Sua aplicação foi sondada três vezes desde que você abriu esta página.

82%

das violações de dados em 2024 começaram por uma vulnerabilidade conhecida que ninguém corrigiu a tempo. Não foi APT sofisticado. Foi código exposto que esperou ser encontrado.

204dias

é o tempo médio até uma empresa descobrir que foi invadida. Em quase 7 meses dentro do seu sistema, um atacante exfiltra base de clientes, planta backdoor, vende acesso na dark web e some.

R$ 6,75mi

é o custo médio de uma violação no Brasil em 2024 segundo IBM. Isso sem contar a multa da LGPD: até 2 % do faturamento, R$ 50 milhões por incidente, processo individual de cada cliente afetado.

"

Se você não testou, alguém vai testar por você. A diferença é que você paga pelo teste em segredo, com relatório no seu email. Eles cobram em público, com a sua reputação no jornal e o seu CNPJ no banco de réus do MPF.

Pergunte a si mesmo, agora, antes de fechar essa aba:

  • Qual foi a última vez que alguém de fora testou seu sistema sem ser do seu time?
  • Você sabe quantos endpoints expostos seu backend tem hoje? Sabe se algum deles vaza credencial em error message?
  • Sua dependência mais antiga foi atualizada há quantos meses? Tem CVE conhecida nela?
  • Se um cliente abrir um processo dizendo que dados dele vazaram, você consegue provar em juízo que tomou medidas técnicas adequadas (Art. 46 LGPD)?

Se você hesitou em qualquer uma, é exatamente por isso que essa página existe.

Quero testar minha aplicação agora arrow_upward

Plano Starter gratuito. 1 scan LOW por mês. Sem cartão.

Perguntas frequentes

O que vão te perguntar antes de assinar.

O que cada nível de scan entrega?
LOW roda em 3 a 5 minutos com 38 mil payloads. Cobre os 15 erros mais críticos do OWASP. É um smoke test de conectividade.

EASY dura 15 a 30 minutos com 380 mil payloads. Cobre OWASP completo, autenticação básica, CSRF, OAuth e configurações comuns.

MEDIUM roda em 1 a 2 horas com 1.1 milhão de payloads. Adiciona testes em BaaS (Supabase, Firebase, S3), bibliotecas JavaScript com CVE conhecida e HTTP smuggling.

HARD dura 3 a 6 horas com 2.3 milhões de payloads. Inclui WAF bypass, deserialization RCE, BOLA, GraphQL DoS e Log4Shell.

INSANE roda 20 a 60+ horas com 3.8 milhões de payloads. Tudo ligado, todas as flags ativas, todos os checks. Auditoria militar.
Quantas vulnerabilidades cada nível detecta?
O motor cobre 150+ checks distribuídos por severidade. Não é "quantas vulnerabilidades aparecem", é "quão profundo o teste vai". Quanto maior o nível, mais payloads variantes são testados em cada check, mais frameworks são cobertos e mais cenários edge-case são explorados. INSANE não acha "mais vulnerabilidades que LOW", acha as mesmas com profundidade muito maior, mais aquelas que só aparecem com técnicas avançadas (blind, chained, time-based).
O que são as flags técnicas dos planos?
Flags são módulos extras que mudam o comportamento do scan. Stealth evita disparar WAF. Browser mimic abre um navegador real e testa vulnerabilidades client-side que dependem de JavaScript. Login verify roda auditoria completa em portais de autenticação (brute force, account enumeration, falhas de 2FA). The Council usa quatro agentes de IA pra gerar payloads sob medida pela arquitetura detectada do alvo. Out-of-Band confirma vulnerabilidades blind via callback externo. Cada plano libera um conjunto diferente; veja nos cards acima qual tem qual.
O que é o The Council?
Metodologia exclusiva do CyberDyne. Quatro agentes de IA analisam a arquitetura do alvo simultaneamente, cada um sob um ângulo diferente: estratégia ofensiva, segurança de front-end, lateralidade e red team puro. A IA consolida os quatro pareceres em payloads personalizados que escapam de scanners genéricos. Disponível nos planos WhiteHat e Pentester.
Posso trocar de plano depois?
Sim, upgrade ou downgrade a qualquer momento. A cobrança é ajustada proporcionalmente no próximo ciclo.
Tem fidelidade?
Não. Cancele direto no painel, sem multa. Os benefícios continuam até o fim do ciclo já pago.
Como funciona o re-scan automático?
No WhiteHat, cada URL monitorada é re-escaneada em modo EASY toda semana e você recebe um email com as novas vulnerabilidades e o diff em relação ao scan anterior. No Pentester, você escolhe a frequência: diária, semanal ou mensal.
Conformidade com LGPD?
Sim. Retenção controlada (Art. 15), consentimento granular de cookies e os relatórios contextualizam o risco com base no Art. 46. CNPJ 62.829.190/0001-01, DPO Miguel Oliveira.

Auditoria de qualidade Serenity

Avaliação em 9 domínios com score de 0 a 100. Sem assinatura mensal. Pague apenas pelos scans que rodar.

Pack Auditor
R$ 74 −15%
  • scans Serenity
  • ≈ R$ 24,67 por scan
Pack Studio
R$ 220 −24%
  • 10× scans Serenity
  • ≈ R$ 22,00 por scan
Pack Enterprise
R$ 525 −28%
  • 25× scans Serenity
  • ≈ R$ 21,00 por scan

Compra personalizada

Sem pack? Compre quantos scans quiser, R$ 29 cada.

Scan Serenity
Auditoria completa em 9 domínios. Relatório PDF, HTML, JSON e prompt_recall.md.
R$29 por scan
Total R$ 29

Perguntas frequentes Serenity

O essencial pra entender o produto.

O que o Serenity audita?
9 domínios de qualidade de software: arquitetura, segurança, performance, acessibilidade, SEO, responsividade, manutenibilidade, observabilidade e estética. Cada um recebe score de 0 a 100 com findings detalhados.
Por que não tem plano mensal?
Auditoria de qualidade não é tarefa diária como pentest. É uma checagem pontual, geralmente antes de release ou apresentação a investidor. Faz mais sentido pagar pelo scan, não pela espera.
Os créditos do pack vencem?
Não. Compre uma vez, use quando precisar. Os créditos ficam no seu painel até serem consumidos.
Posso usar Serenity nos scans CyberDyne?
São produtos separados com créditos separados. Você pode rodar ambos no mesmo alvo, mas cada um consome seu próprio crédito.

Pronto pra parar de improvisar?

Cole sua URL agora. Em segundos você sabe onde a casa está aberta.

Escanear meu sistema