Estudos de caso técnicos sobre vulnerabilidades recorrentes em stacks modernas de aplicações web e APIs, baseados em engajamentos reais de pentest conduzidos pela AtendIA Tec.
Cada caso ilustra um padrão de falha — não um cliente específico. Identidades, contagens exatas, versões exatas de software, domínios e qualquer dado que permita correlação foram removidos ou generalizados. As técnicas, payloads, metodologia e código de remediação foram preservados, pois representam conhecimento técnico público.
Todos os achados aqui apresentados foram remediados pelos clientes em produção antes desta publicação.
Padrão crítico recorrente em aplicações SaaS B2B multi-tenant que expõem
auto-CRUD via Hasura GraphQL Enterprise + Firebase Authentication sem
filtro de tenant adequado nas select_permissions.
| Achado | Severidade |
|---|---|
CORS reflexivo com Allow-Credentials: true |
Crítico |
| IDOR cross-tenant — exfiltração em massa de registros | Crítico |
| Armazenamento de dados sensíveis em texto plano (PCI) | Crítico |
| Vazamento de mensagens privadas cross-tenant | Crítico |
| Enumeração de usuários Firebase + claims vazadas | Alto |
| Console administrativa exposta em produção | Alto |
| Zero rate limiting em todos os endpoints | Alto |
Compliance impactado: LGPD (Art. 46, 48), GDPR (Art. 32, 33), PCI-DSS (Req. 3.4, 4.1).
→ Relatório executivo → Relatório técnico
Padrao recorrente em aplicacoes SaaS que delegam autenticacao ao Firebase Authentication sem validacao server-side adequada dos custom claims e Security Rules.
| Achado | Severidade |
|---|---|
| Custom claims nao validados server-side — escalacao admin | Critico |
| Firestore Security Rules permitem leitura total | Critico |
| Sem rate limiting no password reset (mail bombing) | Alto |
| Tokens nao invalidados apos troca de senha | Alto |
| Enumeracao de usuarios via Firebase REST API | Medio |
Compliance impactado: LGPD (Art. 46, 48), GDPR (Art. 32, 33), OWASP Top 10 2021.
→ Relatorio executivo → Relatorio tecnico
Padrao critico recorrente em APIs REST de aplicacoes SaaS B2B com autenticacao JWT e controle de acesso sem validacoes adequadas.
| Achado | Severidade |
|---|---|
| JWT com secret fraco (HS256) — forja de tokens admin | Critico |
| Mass assignment — escalacao de privilegio via role | Critico |
| SQL Injection UNION-based no parametro de busca | Critico |
| IDOR — IDs sequenciais sem ownership check | Alto |
| CORS permissivo — wildcard origin com credentials | Alto |
| API keys expostas no bundle JavaScript | Alto |
Compliance impactado: LGPD (Art. 46, 48), GDPR (Art. 32, 33), PCI-DSS (Req. 6.5, 8.2).
→ Relatorio executivo → Relatorio tecnico
Padrão de risco máximo recorrente em plataformas BaaS que combinam Supabase
(Postgres + RPC + Auth) com backends WhatsApp em Go e orquestração via n8n.
Funções RPC sem auth.uid() check, combinadas com API keys hardcoded em
JavaScript e webhooks abertos, formam uma cadeia onde um atacante anônimo
controla qualquer instância gerenciada da plataforma com apenas a anon key
pública.
| Achado | Severidade |
|---|---|
RPC Supabase sem auth.uid() — controle total de instância |
Crítico |
| API key hardcoded no JS — vazamento da base de clientes B2B | Crítico |
| Webhooks n8n sem auth aceitando funções destrutivas | Crítico |
| Cadeia ZERO-AUTH → enumeração massiva de números WhatsApp | Alto |
| CORS wildcard com credentials em endpoints administrativos | Alto |
| Tokens não invalidados após troca de senha | Alto |
Compliance impactado: LGPD (Art. 46, 48), GDPR (Art. 32, 33), OWASP API Security Top 10 (API1, API2, API5).
→ Relatório executivo → Relatório técnico
Padrão crítico recorrente em plataformas SaaS B2B white-label (food delivery, serviços por estabelecimento) com stack heterogênea (WordPress + Ruby on Rails + React SPA + Firebase). Account takeover de qualquer cliente final do estabelecimento sem qualquer credencial, recovery code 4-dígitos sem rate limiting, CORS reflexivo, chaves Google Maps expostas.
| Achado | Severidade |
|---|---|
Account takeover via first_register sem autenticação |
Crítico |
| Recovery code 4-dígitos sem rate limiting (brute-force trivial) | Crítico |
Backups wp-config.* e .env no servidor (HTTP 406) |
Crítico |
| Enumeração pública de clientes por telefone | Alto |
CORS reflexivo com Allow-Credentials: true |
Alto |
| Google Maps API keys sem restrição (billing abuse) | Alto |
| Firebase Anonymous Authentication habilitado | Alto |
| WordPress sem CDN/WAF — IP direto + headers vazados | Alto |
Compliance impactado: LGPD (Art. 7, 46, 48), GDPR (Art. 32), OWASP Top 10 2021 (A01, A05, A07).
→ Relatório executivo → Relatório técnico
Research adversarial num produto comercial de proteção contra bots, conduzido
no programa público de bug bounty do próprio fornecedor (YesWeHack) — único
contexto eticamente válido para investigar bypass em produção. Demonstra
profundidade em automação adversarial moderna: análise de challenge JS,
fingerprinting (canvas/WebGL/audio/TLS), e benchmarking sistemático de
abordagens de browser automation (Playwright, Camoufox, Nodriver, Patchright)
combinadas com TLS-impersonating clients (curl_cffi, tls_client).
| Tópico | Estado |
|---|---|
| Análise estática do challenge JavaScript | Documentado |
| Bench de browser automation (8 combinações testadas) | Documentado |
Pipeline híbrido browser→curl_cffi para escala |
Documentado |
| Skeleton de pipeline reproduzível (recon, scrape, report) | Documentado |
| Payloads específicos de bypass do produto comercial | Omitido (canal oficial YesWeHack) |
Por que está aqui: anti-bot bypass é skill diretamente aplicável a auditorias contratadas (WAF, Bot Manager, fraud detection, credential stuffing, scraping risk) — a mesma toolchain audita o defensivo com olhar ofensivo sofisticado.
→ Relatório executivo → Relatório técnico
- Metodologia OWASP Testing Guide v4.2 + PTES aplicada end-to-end
- Relatório em duas camadas (executivo em linguagem de negócio + técnico com PoC reproduzível, CVSS e remediação) — padrão usado por Mandiant, NCC Group, Bishop Fox
- Priorização de remediação por prazo (48h / 2 semanas / 1 mês)
- Hands-on em stacks modernas — GraphQL/Hasura, Firebase, Supabase RPC, Ruby on Rails APIs, JWT, Multi-tenant SaaS, WordPress + headless backends
- Mapeamento explícito para frameworks de compliance (CWE, OWASP Top 10, OWASP API Security Top 10, LGPD, GDPR, PCI-DSS)
- Cadeias de ataque — não apenas vulnerabilidades isoladas, mas como elas se compõem em chains que escalam de "anônimo" a "controle total"
- Research adversarial — bug bounty em produtos comerciais (anti-bot, WAF) com metodologia reprodutível e ética
- Interceptação & fuzzing: Burp Suite, OWASP ZAP, ffuf, gobuster, sqlmap, nuclei
- GraphQL: introspection analysis, mutation enumeration, abuso de auto-CRUD
- BaaS: Supabase RLS + RPC audit, Firebase Security Rules, custom claims, PostgREST policies
- Auth: JWT decoding, Firebase REST API, OAuth flows, session management, HS256 attacks
- Anti-bot research: Camoufox, Nodriver, Patchright, curl_cffi, tls_client, CDP profiling, JA3/JA4 fingerprinting
- Automação: Python 3 (httpx async, asyncio), curl, mitmproxy
- Infra: Kali Linux, Docker, WSL2, residential proxies pool
Gabriel Tavares — Security Researcher & Penetration Tester Fundador da AtendIA Tec
- Bilíngue PT/EN (6 anos morando e estudando nos EUA)
- Bug bounty ativo na YesWeHack
- Focado em Web & API Security, GraphQL, LGPD/GDPR
Estes documentos são estudos de caso sintetizados a partir de padrões recorrentes observados em múltiplos engajamentos de pentest. Todos os engajamentos originais foram conduzidos com autorização formal prévia dos proprietários dos sistemas testados, com tempo razoável para remediação antes de qualquer publicação.
Nenhum nome de cliente, domínio, identificador único, contagem exata, credencial ou dado pessoal real é reproduzido. Qualquer semelhança com sistemas, empresas ou indivíduos específicos em produção é incidental e não representa dados reais expostos.