atendiatec/pentest-samples

# Pentest Case Studies Estudos de caso técnicos sobre vulnerabilidades recorrentes em stacks modernas de aplicações web e APIs, baseados em engajamentos reais de pentest conduzidos pela **AtendIA Tec**. Cada caso ilustra um **padrão de falha** — não um cliente específico. Identidades, contagens exatas, versões exatas de software, domínios e qualquer dado que permita correlação foram removidos ou generalizados. As técnicas, payloads, metodologia e código de remediação foram preservados, pois representam conhecimento técnico público. Todos os achados aqui apresentados foram **remediados pelos clientes em produção** antes desta publicação. ## 📄 Casos disponíveis ### [Hasura GraphQL Multi-Tenant — Tenant Isolation Quebrado](./case-graphql-multitenant) Padrão crítico recorrente em aplicações SaaS B2B multi-tenant que expõem auto-CRUD via **Hasura GraphQL Enterprise** + **Firebase Authentication** sem filtro de tenant adequado nas `select_permissions`. | Achado | Severidade | | ------------------------------------------------------- | ---------- | | CORS reflexivo com `Allow-Credentials: true` | Crítico | | IDOR cross-tenant — exfiltração em massa de registros | Crítico | | Armazenamento de dados sensíveis em texto plano (PCI) | Crítico | | Vazamento de mensagens privadas cross-tenant | Crítico | | Enumeração de usuários Firebase + claims vazadas | Alto | | Console administrativa exposta em produção | Alto | | Zero rate limiting em todos os endpoints | Alto | **Compliance impactado:** LGPD (Art. 46, 48), GDPR (Art. 32, 33), PCI-DSS (Req. 3.4, 4.1). → [Relatório executivo](./case-graphql-multitenant/executive-report.md) → [Relatório técnico](./case-graphql-multitenant/technical-report.md) ### [Firebase Authentication — Bypass de Controles e Exposicao de Dados](./case-firebase-auth-bypass) Padrao recorrente em aplicacoes SaaS que delegam autenticacao ao **Firebase Authentication** sem validacao server-side adequada dos custom claims e Security Rules. | Achado | Severidade | | --- | --- | | Custom claims nao validados server-side — escalacao admin | Critico | | Firestore Security Rules permitem leitura total | Critico | | Sem rate limiting no password reset (mail bombing) | Alto | | Tokens nao invalidados apos troca de senha | Alto | | Enumeracao de usuarios via Firebase REST API | Medio | **Compliance impactado:** LGPD (Art. 46, 48), GDPR (Art. 32, 33), OWASP Top 10 2021. → [Relatorio executivo](./case-firebase-auth-bypass/executive-report.md) → [Relatorio tecnico](./case-firebase-auth-bypass/technical-report.md) ### [REST API — Falhas de Autenticacao e Autorizacao](./case-rest-api-auth-flaws) Padrao critico recorrente em APIs REST de aplicacoes SaaS B2B com autenticacao JWT e controle de acesso sem validacoes adequadas. | Achado | Severidade | | --- | --- | | JWT com secret fraco (HS256) — forja de tokens admin | Critico | | Mass assignment — escalacao de privilegio via role | Critico | | SQL Injection UNION-based no parametro de busca | Critico | | IDOR — IDs sequenciais sem ownership check | Alto | | CORS permissivo — wildcard origin com credentials | Alto | | API keys expostas no bundle JavaScript | Alto | **Compliance impactado:** LGPD (Art. 46, 48), GDPR (Art. 32, 33), PCI-DSS (Req. 6.5, 8.2). → [Relatorio executivo](./case-rest-api-auth-flaws/executive-report.md) → [Relatorio tecnico](./case-rest-api-auth-flaws/technical-report.md) ## 🎯 O que estes estudos demonstram - **Metodologia OWASP Testing Guide v4.2 + PTES** aplicada end-to-end - **Relatório em duas camadas** (executivo em linguagem de negócio + técnico com PoC reproduzível, CVSS e remediação) — padrão usado por Mandiant, NCC Group, Bishop Fox - **Priorização de remediação por prazo** (48h / 2 semanas / 1 mês) - **Hands-on em GraphQL / Hasura / Firebase** — stacks modernas frequentemente mal configuradas em produção - **Mapeamento explícito para frameworks de compliance** (CWE, OWASP Top 10, LGPD, GDPR, PCI-DSS) ## 🛠️ Stack técnica comum nos engajamentos - **Interceptação & fuzzing:** Burp Suite, OWASP ZAP, ffuf - **GraphQL:** introspection analysis, mutation enumeration, abuso de auto-CRUD - **Auth:** JWT decoding, Firebase REST API, OAuth flows, session management - **Automação:** Python 3, curl, Playwright, Camoufox, Nodriver, curl_cffi - **Infra:** Kali Linux, Docker, nmap ## 👤 Sobre **Gabriel Tavares** — Security Researcher & Penetration Tester Fundador da [AtendIA Tec](https://atendiatec.com.br) - Bilíngue PT/EN (6 anos morando e estudando nos EUA) - Bug bounty ativo na YesWeHack - Focado em Web & API Security, GraphQL, LGPD/GDPR 📫 gabriel@atendiatec.com.br ## ⚠️ Disclaimer Estes documentos são **estudos de caso sintetizados** a partir de padrões recorrentes observados em múltiplos engajamentos de pentest. Todos os engajamentos originais foram conduzidos com **autorização formal prévia** dos proprietários dos sistemas testados, com tempo razoável para remediação antes de qualquer publicação. Nenhum nome de cliente, domínio, identificador único, contagem exata, credencial ou dado pessoal real é reproduzido. Qualquer semelhança com sistemas, empresas ou indivíduos específicos em produção é incidental e não representa dados reais expostos.

标签：API安全, B2B, CORS, Firebase, GDPR, GraphQL, Hasura, IDOR, JSON输出, LGPD, PCI-DSS, PTES, SaaS安全, 公开知识, 合规, 技术栈, 报告质量, 敏感数据存储, 方法论, 案例研究, 漏洞披露, 生产修复, 租户隔离, 请求拦截, 逆向工具