Testes de segurança automatizados
paradevs.

O Defenty orquestra nuclei, ffuf, katana e 17 ferramentas profissionais contra seu domínio — automaticamente. Secrets expostos, portas abertas, CVEs, misconfigurações. Resultados em minutos.

Ver relatório exemplo
Sem cadastro·Vulnerabilidades reais em minutos·Scan gratuito
Feito para:Next.js·Supabase·Firebase·Vercel·AWS·Netlify
defenty — security scanrunning
Processo

Do domínio ao relatório de segurança em minutos

Um pipeline coordenado — cada fase alimenta a próxima.

01

Informe seu domínio

Sem agentes, sem plugins, sem cadastro. Apenas seu domínio e o e-mail para receber o relatório.

02

Mapeamento da superfície de ataque

subfinder, katana e nmap enumeram subdomínios, portas abertas, endpoints ativos e stack tecnológico em todo o seu domínio.

03

Varredura ativa de segurança

Ferramentas testam cada ponto de entrada:

  • nuclei dispara 3.800+ templates de vulnerabilidade
  • ffuf faz fuzzing em diretórios e caminhos sensíveis
  • 10 módulos especializados: secrets, DNS, análise JS profunda, cloud, cadeias de ataque
  • Dev Checks testam rate limiting, CAPTCHA e painéis admin
  • testssl audita a configuração TLS e falhas conhecidas

04

Findings priorizados

Seu relatório inclui:

  • Score de segurança (0–100) com índice de exploitabilidade
  • Cadeias de ataque correlacionadas — veja como as vulns se combinam
  • Snippets de correção com código real para sua stack

Exportável em PDF, JSON ou HTML.

Tempo de scan: ~5 min (scan gratuito) a ~60 min (recon completo), dependendo da complexidade do domínio.

Cobertura

Cobertura completa de segurança

Seis etapas automatizadas mapeiam toda a superfície de ataque do seu domínio. A profundidade varia por plano.

1 / 6Pipeline

Descoberta

Mapeamento inicial da infraestrutura e presença digital.

  • detecção de tecnologias utilizadas
  • identificação de hosting e infraestrutura
  • enumeração de subdomínios
  • inteligência DNS: DNSSEC, análise NS/MX, tentativas de zone transfer
httpx — asset discovery
HOST
STATUSTECH
api.example.com
200Node.js
admin.example.com
403Next.js
staging.example.com
200React
mail.example.com
Postfix
cdn.example.com
200Cloudflare
dev.example.com
200Vite
[+] 6 hosts · subfinder + dnsx + httpx

2 / 6Pipeline

Infraestrutura & Portas

Mapeamento de tudo que está exposto na sua infraestrutura — serviços, portas e configurações.

  • varredura completa de portas e serviços expostos (Infrawatch+, até 65.535 no DeepRecon)
  • detecção de serviços sensíveis: Redis, MongoDB, Elasticsearch, Docker API
  • auditoria de cabeçalhos de segurança e configuração TLS/SSL
  • fingerprinting de tecnologias e versões de serviços
  • verificação de segurança de e-mail (SPF, DMARC e DKIM)
BTLS
Cabeçalhos de Segurança2/6 ok
CSP HSTS X-Frame X-Content Referrer Permissions

Portas Abertas5 serviços expostos

:80HTTP
:443HTTPS
:22SSH
:8080Dev HTTP
:3306MySQL

3 / 6Pipeline

Segredos e Credenciais

Rastreamos credenciais e chaves sensíveis que podem estar expostas sem que você saiba.

  • detecção de segredos em arquivos JavaScript do frontend (20+ provedores)
  • identificação de chaves de AWS, Stripe, Firebase, GitHub, OpenAI, Anthropic e outras APIs
  • teste de RLS do Firebase e Supabase — disponível em planos pagos (até 30 tabelas no DeepRecon)
  • análise profunda de JS: DOM XSS sinks, postMessage inseguro, prototype pollution
trufflehog + gitleaks — secret scan
Segredos encontrados3 found
AWS_ACCESS_KEY_IDEXPOSED
AWS Key · bundle.js
STRIPE_SECRET_KEYEXPOSED
Chave Stripe · app.js
FIREBASE_API_KEYEXPOSED
Firebase API Key · config.js
[+] 3 secrets · 2 sources scanned

4 / 6Pipeline

Dev Security Checks

Verificações de maturidade de segurança em aplicações modernas.

  • proteção contra força bruta e abuso de login
  • detecção de CAPTCHA e rate limiting
  • análise de flags de cookies e políticas CSP
  • testes específicos do stack: vazamento de dados em Next.js, WordPress xmlrpc, misconfigs Supabase
  • detecção de arquivos sensíveis (.env, backups, configs)

4

Falhou

2

Passou

Dev Security Checks

Rate limiting no loginfail
CAPTCHA no formulário de loginfail
Painel admin exposto (/admin)fail
Arquivo .env acessívelfail
Cookie security flagspass
SRI em scripts externospass

5 / 6Pipeline

Detecção de Vulnerabilidades

Busca automatizada por vulnerabilidades conhecidas e falhas comuns.

  • 3.800+ checks de segurança automatizados
  • detecção de CVEs em frameworks e plugins
  • correlação de cadeias de ataque — caminhos multi-etapas detectados (WebSecurity+)
  • exposição de cloud: buckets S3, Azure Blob, GCP Storage, Firebase RTDB (Infrawatch+)
  • inteligência de resposta: cache poisoning, CRLF injection, vazamento de headers
Achados por severidade22 total
CRITICAL
2
HIGH
3
MEDIUM
5
LOW
4
INFO
8
Principais achados
CRITICALArquivo .env acessível em /.env
CRITICALMySQL (3306) exposto na internet
HIGHChave de API exposta no JavaScript

6 / 6Pipeline

Relatório Completo

Todos os achados consolidados em um relatório claro e acionável.

  • pontuação de segurança (0–100) com análise de evolução entre varreduras
  • pontuação de explorabilidade — nível de risco real para o seu negócio
  • relatório executivo com achados priorizados por impacto
  • snippets de remediação com código real para o seu framework
  • narrativa da cadeia de ataque — passo a passo de como um atacante agiria (WebSecurity+)
  • exportação em JSON, HTML ou PDF
Grade D

Plano de ação

Corrigir agora — 2 problemas
Esta semana — 3 problemas
Quando possível — 5 problemas

Exportar Relatório

JSONHTMLPDFplanos pagos
Relatório

Relatório completo. Riscos visíveis.

Veja como o Defenty apresenta os riscos encontrados no seu domínio.

defenty.com/report/example.com
preview
Relatório
Vulnerabilidades
Conformidade e Defesas
Superfície de Ataque
Histórico
31/100
Grau D
Exploitabilidade:HIGH
↓ 12 pts vs scan anterior
CRITICAL2
HIGH3
MEDIUM4
LOW1
INFO8
Superfície de ataque
12Subdomínios
4Páginas de login
162Endpoints
3Tecnologias

Principais achados

critical
.env exposto publicamente em /.env+18 pts

DATABASE_URL=postgres://admin:p4ss@db.internal/prod · SECRET_KEY=sk_live_...

Contexto de risco

Arquivo contém DATABASE_URL, SECRET_KEY e tokens de API — acesso direto ao banco de dados.

critical
Subdomínios administrativos expostos encontrados+15 pts

api.example.com · admin.example.com · staging.example.com

high
Chave de API exposta em bundle JavaScript+10 pts

AIzaSyD_Key45afea534••••••4fefe · main.chunk.js:2847

high
Endpoint de login sem rate limiting — força bruta possível+9 pts

POST /api/login · POST /api/auth/token · sem CAPTCHA, sem bloqueio

medium
Content-Security-Policy ausente+5 pts

Cadeia de Ataque

CAMINHO CRÍTICO
1.env exposto em /.env
2Credenciais do banco vazadas
3Acesso direto ao banco de dados

Remediação

Next.js
// next.config.js
headers: () => [{
  source: '/(.*)',
  headers: [
    { key: 'Strict-Transport-Security',
      value: 'max-age=63072000' },
    { key: 'Content-Security-Policy',
      value: "default-src 'self'" },
  ]
}]

Cabeçalhos de Segurança

HSTS
CSP
X-Frame
X-Content
Referrer
Permissions

SSL / TLS

Certificado
Validade287d
TLS 1.3
TLS 1.2
TLS 1.0legado ⚠
WAFNão detectado

Segurança de e-mail

SPF
DMARC
DKIM
Prévia ilustrativa — o relatório real refletirá seu domínio, com exportação em JSON, HTML e PDF.
Preço

Preço

Escolha o plano com base no que você precisa cobrir.

Legenda:IncluídoLimitadoNão incluído

QuickScan

Gratuito

  • Security score
  • Principais vulnerabilidades
  • Análise de TLS
Mais popular

WebSecurity

R$ 149

  • Probes específicos do seu stack
  • Cadeias de ataque correlacionadas
  • Segurança de login e detecção de secrets

InfraWatch

R$ 269

  • Análise profunda de JS (DOM XSS · postMessage)
  • Exposição de cloud (S3 · Azure · GCP · Firebase)
  • Port scanning completo + detecção de serviços

DeepRecon

R$ 429

  • Teste profundo de autenticação e sessão
  • OSINT (vazamentos · GitHub dorks · pastes)
  • Vulnerability scan avançado
Mais popular

Recurso

QuickScan

Gratuito

Scan rápido da superfície de ataque

  • Security score
  • Principais vulnerabilidades
  • Análise de TLS
  • Security headers
  • Análise DNS (DNSSEC · NS · MX)

Sem este scan, você está exposto a:

  • Dados sensíveis expostos publicamente
  • Headers ausentes — infração direta à LGPD
  • SSL expirado bloqueia usuários e derruba SEO
  • Subdomínios esquecidos acessíveis por qualquer pessoa
  • Dano de reputação com clientes e parceiros

WebSecurity

R$ 149

Análise de segurança de aplicações web

1 rescan incluído

  • Probes específicos do seu stack
  • Cadeias de ataque correlacionadas
  • Segurança de login e detecção de secrets
  • Correção com código pronto
  • Relatório executivo com IA + evolução entre scans

Sem este scan, você está exposto a:

  • Credenciais de API expostas em arquivos JS públicos
  • Sem cadeias de ataque, você não vê como as vulns se combinam
  • Sem probes específicos, falhas Next.js / Supabase passam despercebidas
  • Takeover de subdomínio por atacantes
  • Multa LGPD: até R$50 milhões por incidente
  • Notificação de violação obrigatória à ANPD

Refaça o scan do mesmo domínio em até 30 dias após o scan inicial — ideal para validar as correções que você aplicou.

InfraWatch

R$ 269

Análise de infraestrutura exposta

1 rescan incluído

  • Análise profunda de JS (DOM XSS · postMessage)
  • Exposição de cloud (S3 · Azure · GCP · Firebase)
  • Port scanning completo + detecção de serviços
  • Inteligência DNS avançada

Sem este scan, você está exposto a:

  • Banco de dados exposto diretamente na internet
  • DOM XSS sinks e vulnerabilidades postMessage não detectadas
  • Buckets S3 / Azure / GCP graváveis publicamente
  • Comprometimento silencioso sem gerar alertas
  • Responsabilidade civil por falha de segurança comprovada

Refaça o scan do mesmo domínio em até 30 dias após o scan inicial — ideal para validar as correções que você aplicou.

DeepRecon

R$ 429

Análise completa de segurança ofensiva

1 rescan incluído

  • Teste profundo de autenticação e sessão
  • OSINT (vazamentos · GitHub dorks · pastes)
  • Vulnerability scan avançado
  • AI Attack Scenario (exclusivo)

Sem este scan, você está exposto a:

  • Session fixation e IDOR vulnerabilities não detectadas
  • Credenciais vazadas em breaches permitem takeover de conta
  • Comprometimento total do ambiente de produção
  • Notificação obrigatória à ANPD (art. 48, LGPD)
  • Multa de até 2% do faturamento anual (cap R$50M)
  • Dano reputacional irreversível e perda de contratos

Refaça o scan do mesmo domínio em até 30 dias após o scan inicial — ideal para validar as correções que você aplicou.

Security Score
Detecção de tecnologias
Security headers
Análise SSL/TLS
Enumeração de subdomínios
Análise DNS (DNSSEC · NS · MX)
Verificações de segurança para dev
Detecção de secrets em JavaScript
Verificações de segurança no login
Detecção de WAF
Segurança de email (SPF · DMARC · DKIM)
URLs históricas
XSS scanning
Probes específicos do seu stack
Fuzzing de endpoints de API
Cadeias de ataque correlacionadas

Pagamento único, sem assinatura. Todos os planos incluem relatório por email e análise com IA.

Comece agora

Faça seu primeiro scan agora

Sem agentes. Sem cadastro. Só seu domínio.

O scan gratuito cobre SSL, análise DNS, headers de segurança, subdomínios e vulnerabilidades críticas — em menos de 5 minutos. Planos pagos incluem cadeias de ataque e remediação com código.

Sem conta necessáriaResultados em minutosDo gratuito ao recon completo