Blindagem Web · auditoria contínua de superfície digital

Vulnerabilidade não é uma surpresa. É algo que se previne.

A Blindagem Web é o serviço de auditoria e proteção contínua da Serafim para empresas que tratam segurança como dever técnico — não como discurso institucional. Quatro níveis de análise, relatório verificável, monitoramento contínuo e certificação criptográfica. Sem promessa que não esteja escrita em contrato.

Auditoria em quatro níveis — do reconhecimento passivo ao pentest assistido
Relatório em dois eixos — diretor (linguagem executiva) e técnico (CWE, CVSSv3, snippet)
Monitoramento contínuo por BatBot — alteração silenciosa, plugin desatualizado, certificado vencendo
Certificado SHA-256 com verificação pública por hash — utilizável em licitação e due diligence
Conhecer os planos Como cada nível opera
serafim · blindagem · scan engine scan em curso
// ALVO empresa-cliente.com.br
00:00:12
// SUPERFÍCIE · mapeando
Resolução DNS, MX, SPF, DMARCN1
Certificado TLS · cadeia, ciphers, HSTSN1
Cabeçalhos · CSP ausente, X-Frame-Options frágilN1
Paths sensíveis · /.git, /.env, /backupN2
Injeção · XSS refletido, SQLi cego, CORSN2
3 de 5 etapas · N1 concluído
48%
// ilustração do processo real de auditoria N1 + N2
N1—4 níveis progressivos de auditoria, do reconhecimento passivo ao pentest com analista designado. // metodologia aderente a OWASP ASVS
24/7 monitoramento contínuo por BatBot — sondagem periódica de código, configuração e serviços expostos. // alertas em e-mail, Telegram ou webhook
SHA-256 hash criptográfico do estado auditado, verificável publicamente por QR Code e endpoint próprio. // utilizável em licitação, due diligence, ANPD
LGPD·27 conformidade com os 27 controles do guia oficial ANPD para segurança da informação. // referência: Lei 13.709/2018 · ANPD/SGI
Os quatro níveis

Cada nível responde a uma
pergunta diferente.

A Blindagem Web não é "um scan". É uma escala — do que qualquer atacante consegue ver de fora, até o teste com autorização explícita e analista designado. Você contrata o nível compatível com o seu risco real.

// NÍVEL UM

Reconhecimento

passivo · sem requisição autenticada

Tudo que um atacante pode descobrir sobre você sem tocar no servidor. Pegada DNS, exposição em diretórios públicos, certificados, subdomínios, cabeçalhos.

  • DNS, MX, SPF, DKIM, DMARC
  • Subdomínios e ASN
  • Certificados TLS e cadeias
  • Cabeçalhos HTTP de segurança
  • Vazamento por OSINT
incluso emtodos os planos
// NÍVEL DOIS

Sondagem ativa

ativo · requisição não autenticada

Requisições não autenticadas que testam superfícies vulneráveis. Injeção, XSS, paths sensíveis, configuração frágil — sem nunca tocar em dados ou autenticação.

  • XSS refletido e armazenado
  • SQLi cega e baseada em tempo
  • CORS, CSRF, IDOR superficial
  • Paths expostos (.git, .env)
  • Misconfigurations comuns
a partir doplano Pro
// NÍVEL TRÊS

Pentest GLADIATOR

teste autenticado · com autorização

Pentest com escopo formal e usuário de teste. Testa regras de negócio reais — autorização cruzada, lógica de cobrança, abuse cases, escalada de privilégio.

  • Autorização horizontal e vertical
  • Lógica de cobrança e descontos
  • IDOR autenticado
  • Sessão, JWT, refresh tokens
  • Abuse cases por papel
exclusivo doplano Elite
// NÍVEL QUATRO

Operação Red Team

red team · escopo customizado

Simulação de agente adversário real com escopo amplo e analista designado. Cadeia de ataque completa: reconhecimento, exploração, persistência, evasão e engenharia social autorizada. Sob proposta formal.

  • Cadeia adversária completa
  • Persistência e evasão de detecção
  • Engenharia social autorizada
  • Relatório forense em conjunto
  • Briefing direto à diretoria
contrataçãodireta
O que você recebe

Artefatos concretos.
Auditáveis.

Nenhuma entrega é uma promessa verbal. Cada item da Blindagem Web é um arquivo nominado, datado e verificável — feito para circular dentro da sua empresa, da sua diretoria e da sua cadeia de auditoria.

// PARA A DIRETORIA

Relatório Executivo

Score A–F, risco estimado, impacto LGPD, ação prioritária. Em português direto, sem jargão técnico. Quatro páginas — feito para circular em conselho.

// PARA O TIME TÉCNICO

Relatório de Desenvolvimento

Cada achado com CWE, CVSSv3, evidência reproduzível e snippet de correção pronto para implementar. Mapeado para OWASP. Indexado por severidade.

// PARA TERCEIROS

Certificado SHA-256

Hash criptográfico assinado do estado auditado. Verificável por QR Code e endpoint público. Utilizável em licitação, contrato e due diligence. Vence se o site mudar.

Anatomia do relatório

O documento como
uma peça técnica.

A diagramação não é decorativa. Cada seção do relatório existe porque será lida por uma pessoa diferente — diretoria, líder técnico, auditor externo, advogado. O documento é estruturado para circular em todas essas mesas sem perder precisão.

SERAFIM · BLINDAGEM RELATÓRIO TÉCNICO
pg. 12/24
Detalhamento de achados
// nível N2 · sondagem ativa
CWE-79 · XSS refletidoALTO
CWE-89 · SQLi cegoALTO
CWE-693 · CSP ausenteMÉDIO
CWE-1004 · cookies sem HttpOnlyMÉDIO
CWE-200 · /.git acessívelALTO
CWE-942 · CORS muito permissivoMÉDIO
versão TLS 1.0 ainda ativaBAIXO
// continua em pg.13
SERAFIM · BLINDAGEM RELATÓRIO EXECUTIVO
pg. 01/04
Sumário para a diretoria
// auditoria · 21/05/2026 · empresa-cliente.com.br
B+
SCORE GLOBAL
87/100
médio
RISCO LGPD
3 controles
Total de achados14
· severidade alta3
· severidade média5
· severidade baixa6
Ação prioritáriacorrigir 3 ALTOS
Tempo estimado de correção2–5 dias-dev
// anexo A: lista completa em PG. 03
I.
Sumário executivo (4 páginas)
Score, risco LGPD, ação prioritária, tempo de correção estimado. Linguagem de gestão. Apresentável em conselho sem nenhuma palavra técnica.
II.
Mapeamento de superfície (8 páginas)
Inventário do que existe e está exposto. Hosts, subdomínios, certificados, cabeçalhos, endpoints. A topologia que o atacante vê — desenhada.
III.
Detalhamento técnico (12 a 40 páginas)
Cada achado: CWE, CVSSv3, evidência reproduzível, request/response, snippet de correção. Indexado por severidade e por sistema afetado.
IV.
Conformidade ANPD (anexo B)
27 controles do guia oficial de segurança da ANPD cruzados com os achados. O que está atendido, o que precisa ser registrado, o que exige correção.
V.
Roteiro de correção (anexo C)
Lista priorizada com tempo de correção estimado, arquivos a alterar e snippets prontos. O entregável final do líder técnico para os desenvolvedores.
Como funciona, do contrato à certificação

Sem "entraremos em contato".
Cada etapa tem prazo.

A Blindagem é vendida como serviço produtizado — não como projeto consultivo de prazo indefinido. Você compra um pacote, e a entrega tem cronograma escrito.

01
Confirmação e início imediato do N1
Pagamento confirmado, o reconhecimento N1 inicia automaticamente. Você recebe acesso ao painel e identificação da auditoria.
// minutos após a confirmação
02
Relatório N1 entregue no painel
Score, achados de superfície, configuração de DNS e TLS, vazamentos OSINT. Documento em PDF, e versão consultável no painel.
// dentro de 1 hora · depende do tamanho do alvo
03
Sondagem N2 ativa e relatório técnico
Em planos Pro e Elite. Sondagem ativa com técnicas não-destrutivas, detalhamento técnico com CWE e snippet de correção.
// dentro de 24 horas · planos Pro/Elite
04
BatBot ativado em monitoramento contínuo
Sondagem periódica de mudança de superfície, plugin desatualizado, certificado vencendo, integridade de arquivos. Alerta no canal escolhido.
// 30 ou 90 dias, conforme plano
05
Re-scan de verificação e certificação SHA-256
Quando você aciona após as correções, fazemos novo scan, comparamos com o anterior e emitimos o certificado verificável.
// quando o cliente solicitar · planos Pro/Elite
Planos disponíveis

Três pacotes.
Um contrato direto.

Preço público, escopo definido, prazo escrito. Sem ciclo de proposta, sem desconto-fantasma, sem pacote enterprise camuflando o preço real. Quem precisa de algo fora dessa estrutura — entra pelo nível N4, com escopo desenhado caso a caso.

LITE
Diagnóstico inicial honesto.
R$ 297·BRL
pagamento único · sem mensalidade
  • Auditoria nível N1 completa
  • Relatório Executivo (4 páginas)
  • Mapeamento de superfície
  • Conformidade LGPD — visão básica
  • Sondagem ativa N2
  • BatBot monitoramento
  • Certificado SHA-256
Contratar Lite
// reembolso integral se nenhum achado for produzido
PRO
A blindagem em escopo de produção.
R$ 997·BRL
pagamento único · monitoramento 30 dias
  • Auditoria N1 + N2
  • Relatórios Executivo e Técnico
  • Roteiro de correção por arquivo
  • BatBot — 30 dias contínuos
  • Conformidade ANPD — 27 controles
  • Re-scan pós-correção
  • Certificado SHA-256
Contratar Pro
// reembolso integral se nenhum achado for produzido
ELITE
Pentest autenticado + analista designado.
R$ 2.997·BRL
pagamento único · monitoramento 90 dias
  • Tudo que o Pro entrega
  • Pentest GLADIATOR (N3)
  • Briefing 1h com analista sênior
  • BatBot — 90 dias contínuos
  • Cadeia de custódia documental
  • Relatório forense complementar
  • Certificado SHA-256 público
Contratar Elite
// proposta formal antes da execução do N3

Operações que exigem nível N4, escopo continuado ou confidencialidade reforçada são contratadas diretamente — sem checkout, sob NDA, com analista designado nomeado em contrato.

Metodologia

Como o trabalho
é feito.

A Blindagem Web não nasceu de um modelo de venda. Nasceu da prática diária do time da Serafim em auditoria ofensiva. Quatro princípios guiam a forma como cada auditoria acontece — sem exceção.

01
// PRINCÍPIO PRIMEIRO

Nada é destrutivo sem autorização escrita.

N1 e N2 são sempre não-destrutivos. Nada é alterado, nada é apagado, nada é exfiltrado. Para qualquer ação que envolva sessão real, autenticação ou modificação, exigimos autorização explícita, escopo formal e janela combinada. Sem isso, o nível não é executado.

02
// PRINCÍPIO SEGUNDO

Cada achado tem evidência reproduzível.

Nenhum item do relatório é declarado sem que possa ser reproduzido pelo seu time. Request, resposta, payload e contexto aparecem no documento — junto com o snippet de correção. Se você não consegue verificar, não é uma vulnerabilidade. É só uma opinião.

03
// PRINCÍPIO TERCEIRO

A confidencialidade não é cláusula — é estrutura.

Cada auditoria opera em ambiente isolado, com acesso restrito por papel. Os artefatos são criptografados em trânsito e em repouso. O nome do cliente nunca aparece em depoimento, case ou material de venda — a única exceção é quando o próprio cliente autoriza por escrito.

04
// PRINCÍPIO QUARTO

Reembolso integral se o trabalho não produzir achados.

Em mais de uma década de prática, isso aconteceu em quantos casos? Nenhum, até hoje. A garantia existe porque o trabalho é honesto: se a auditoria não encontrar nada relevante, você não paga. Não há letra miúda, não há condicionante. Acionável por e-mail.

Objeções técnicas

Antes que você
pergunte.

As dúvidas que aparecem antes da contratação — respondidas com a precisão que você esperaria ler em um contrato.

Não. O N2 é executado com rate limiting agressivo (em geral, 1–4 requisições por segundo), sem técnicas destrutivas, fora dos horários de pico combinados com você. O agente de scan é identificável por User-Agent dedicado, e você pode revogar a janela a qualquer momento durante a execução. Em mais de uma década, nunca houve indisponibilidade causada por scan da Blindagem.
Para ambientes não públicos, a Blindagem opera por scan agent autoinstalável (binário assinado, executável em ambiente Linux ou Windows). Você roda o agente dentro da sua rede, ele cria um túnel reverso autenticado, e a auditoria acontece como se viéssemos de dentro. O agente é entregue com checksum e instalação assistida.
O certificado é um instrumento técnico de verificação — atesta criptograficamente que o estado auditado do sistema é exatamente aquele descrito no relatório. Vem sendo aceito em licitações públicas como evidência de conformidade. Não substitui parecer jurídico, mas é um documento robusto que advogado e auditor reconhecem como prova de diligência técnica.
A Blindagem Web não é um serviço de resposta a incidente — é prevenção. Em caso de incidente já em curso, indicamos diretamente a equipe forense da Serafim. Para empresas que sofreram incidente e querem demonstrar diligência prévia à ANPD, o relatório auditado pré-incidente é o documento mais forte — desde que seja anterior à data do evento e tenha sido emitido por terceiro.
Em conformidade com a LGPD: mantemos por 12 meses os artefatos da auditoria (relatórios, evidências, logs de sondagem) em ambiente criptografado, exclusivamente para fins de re-verificação, suporte ao cliente e cumprimento de obrigação legal. Após esse prazo, são destruídos com registro. Você pode pedir destruição antecipada por escrito.
A engine de scan é proprietária — desenvolvida e operada pelo time Red Team da Serafim. Auditorias N3 e N4 envolvem analista designado, identificado pelo nome em contrato. Não há terceirização para fora da Serafim — toda execução é em ambiente interno, sob NDA assinada pelo analista.
PIX, cartão de crédito em até 12x (Stripe), boleto bancário e transferência. Nota fiscal eletrônica de serviço emitida em até 2 dias úteis após o pagamento. Para contratos corporativos ou nível Elite/N4, o pagamento é feito por boleto faturado contra contrato, com prazo de pagamento de até 30 dias.

Vulnerabilidade não escolhe
o porte da empresa.

A Blindagem Web é o serviço para quem trata segurança como parte do produto — não como item de comunicação. Comece pelo nível compatível com o seu risco; suba quando o trabalho de hoje justificar o trabalho do próximo.

Ver os três planos [email protected]