Security readiness · sites, apps e plataformas

Descubra as falhas de segurança do seu site antes que um invasor — ou seu cliente descubra.

Vazamento de dados, site fora do ar, multa de LGPD. A maioria dos riscos é visível de fora e barata de corrigir — quando você sabe que existe.

Você começa com uma análise gratuita e só avança se fizer sentido. Sem reunião, sem compromisso.

Sem acesso ao código nem credenciais na análise inicial
Sem teste invasivo — só o que já está exposto publicamente
Resultado em até 48h, com o próximo passo recomendado pelo risco real

Analisar meu site grátis Ver como funciona

Baseado em OWASP · CVSS · CWE Contexto BR: LGPD · PIX

readiness_snapshot exemplo ilustrativo

68/ 100

readiness inicial

Atenção recomendada

1 Alto 3 Médio 4 Info

Headers de segurançaATENÇÃO

TLS / SSLOK

Exposição públicaREVISAR

Configurações sensíveisATENÇÃO

próximo passo Validação externa recomendada →

Exemplo ilustrativo. Resultado real depende de verificação.

Por que isso importa

O risco fica barato de corrigir — e caro de ignorar.

A maioria das falhas que encontramos custaria poucos minutos de ajuste. O problema é o que acontece quando ninguém olha antes.

até R$ 50 mi ou 2% do faturamento

Multa de LGPD

A ANPD pode aplicar sanções por exposição de dados pessoais. Um header mal configurado ou um endpoint aberto já basta para caracterizar negligência.

Fonte: Lei 13.709/2018, art. 52

R$ 7,19 mi custo médio

Custo de um vazamento

É o custo médio de uma violação de dados no Brasil — somando resposta a incidente, perda de clientes, parada de operação e reputação.

Fonte: IBM Cost of a Data Breach Report 2025

1 negócio

O cliente ou investidor que você perde

Contratos enterprise e rodadas de investimento exigem comprovação de segurança. Sem ela, o deal trava na fase de due diligence — quando já é tarde.

Padrão em processos de vendor security review

Análise gratuita

Faça uma análise gratuita do seu site agora.

Informe a URL principal e valide um e-mail do mesmo domínio. Não pedimos senha, código-fonte ou credenciais nesta etapa.

Em até 48h você recebe uma leitura inicial de exposição — headers, TLS, DNS e configurações públicas — com o próximo passo recomendado pelo risco encontrado.

Solicitação recebida

Antes de qualquer verificação, vamos confirmar a titularidade do domínio pelo e-mail informado. Em seguida retornamos com o próximo passo da sua leitura inicial.

Como funciona

Do domínio ao diagnóstico em 3 passos.

Um processo leve para a primeira leitura — e um caminho claro para aprofundar só se o risco justificar.

Informe a URL

Você envia o domínio e valida um e-mail do mesmo domínio. Leva menos de um minuto.

Análise da superfície

Avaliamos passivamente o que está exposto publicamente — sem tocar no que é interno.

Receba o diagnóstico

Score de readiness, riscos priorizados por severidade e exatamente o que corrigir primeiro.

Resumo executivo

Score, severidade, impacto no negócio e recomendação de próximo passo.

Achados técnicos

Evidências por categoria, severidade e correção prática.

Prioridade de ação

O que corrigir primeiro, separado por nível de risco.

Reteste

Validação posterior conforme o plano contratado.

O entregável

Veja o que você recebe — antes de contratar.

Nada de PDF genérico de scanner com mil falsos positivos. Cada achado vem com evidência, severidade pelo padrão CVSS, referência CWE e o passo prático de correção.

Score de readiness e resumo executivo para decisão
Cada achado com evidência, impacto e como corrigir
Priorização clara: o que resolver hoje, o que pode esperar
Linguagem que o time técnico e o time de negócio entendem

relatorio_labshield.pdf — exemplo ilustrativo

Resumo executivodominio-exemplo.com.br · validação externa

72/100

Header HSTS ausenteALTO

Permite downgrade da conexão e ataques man-in-the-middle em redes não confiáveis. Correção: adicionar Strict-Transport-Security com max-age ≥ 1 ano.

CWE-319 · CVSS 7.4

Cookie de sessão sem flag SecureMÉDIO

Cookie de autenticação pode trafegar fora de HTTPS. Correção: aplicar atributos Secure e HttpOnly no cookie de sessão.

CWE-614 · CVSS 5.3

Versão de servidor exposta no headerMÉDIO

Facilita o mapeamento de vulnerabilidades conhecidas. Correção: suprimir banners de versão em respostas HTTP.

CWE-200 · CVSS 4.3

Planos

Escolha o nível certo de validação.

Comece grátis e avance conforme o risco real do seu produto.

Segurança básica não deveria custar como um pentest enterprise.

Quick Check

Para quem quer uma primeira leitura sem compromisso

Gratuito

Análise inicial da superfície pública para identificar sinais básicos de exposição e pontos de atenção.

Escopo

Headers de segurança
TLS / SSL
DNS e e-mail security
Cookie flags
Exposição pública inicial

Analisar meu site grátis

Mais escolhido

Validação Externa

Para validar exposição antes de lançar, vender ou captar

R$ 1.190R$ 889

Preço de lançamento · acompanhamento R$ 189/mês

Validação externa autorizada do site, app ou API, sem acesso ao código, credenciais ou infraestrutura interna.

Escopo · metodologia Black Box

Inclui o Quick Check
Reconhecimento de superfície pública
Enumeração de subdomínios
Port scanning e detecção de serviços
Scanning de vulnerabilidades conhecidas
Exploração autorizada e limitada

Contratar validação

Validação Autenticada

Para produtos com login, pagamentos ou dados sensíveis

R$ 1.890R$ 1.489

Preço de lançamento · acompanhamento R$ 389/mês

Validação com acesso controlado a contas de teste, fluxos autenticados, APIs privadas e jornadas críticas.

Escopo · metodologia Gray Box

Inclui a Validação Externa
Acesso controlado a contas de teste
Validação de fluxos autenticados
Testes de autorização e permissões
Testes de IDOR/BOLA em áreas logadas
Validação de APIs autenticadas

Contratar validação

Auditoria Completa

Para produtos críticos, due diligence e ambientes regulados

sob escopo Orçamento dedicado

Definido após conversa de escopo

Auditoria aprofundada com acesso ao código, arquitetura, banco de dados, integrações e documentação.

Escopo · metodologia White Box

Inclui a Validação Autenticada
Revisão de código e arquitetura
Análise de secrets e configurações
Revisão de regras de banco e permissões
Análise de dependências e bibliotecas
Revisão de pipelines, deploy e ambientes

Falar com especialista

Por que a Lab Shield

Nem scanner automático, nem pentest de R$ 30 mil.

O scanner grátis te enterra em falsos positivos sem contexto. O pentest enterprise é caro demais para um produto que ainda está crescendo. A gente fica no meio que faltava.

	Scanner automático grátis	Lab Shield	Pentest enterprise
Análise feita por especialista	Não — só robô	Sim	Sim
Falsos positivos filtrados	Não	Sim, com validação manual	Sim
Priorização por impacto no negócio	Não	Sim	Sim
Começa de graça	Sim	Sim — Quick Check	Não
Preço acessível para startup/PME	Sim	A partir de R$ 889	R$ 30 mil+
Prazo de entrega	Imediato, mas raso	Dias, com profundidade	Semanas

Quem já validou

O que os fundadores dizem depois do diagnóstico.

Resultados reais que aparecem quando alguém olha o produto antes de um invasor.

Achavam que estávamos seguros porque o site era novo. A Lab Shield encontrou um endpoint que expunha dados de pedidos sem autenticação. Corrigimos em uma tarde — antes de qualquer cliente perceber.

Marina RochaCTO · marketplace de logística

Precisávamos passar pelo security review de um cliente enterprise. O relatório foi aceito direto pelo time de compliance deles e destravou o contrato. Pagou-se sozinho.

Felipe TavaresFundador · SaaS B2B

O melhor foi a priorização. Em vez de uma lista de 200 itens de scanner, recebemos os 4 que realmente importavam e o que fazer com cada um. Direto ao ponto.

Ana LimaHead de Produto · fintech

Caso · plataforma com loginRisco Alto

SituaçãoSaaS prestes a captar investimento, sem nunca ter passado por validação de segurança.

AchadoFalha de autorização (IDOR) permitia que um usuário acessasse dados de outra conta trocando um ID na URL.

ResultadoCorrigido antes da due diligence. Rodada fechada sem ressalvas de segurança.

Caso · loja com pagamentosRisco Alto

SituaçãoE-commerce em crescimento processando PIX e cartão, sem auditoria prévia.

AchadoChave de API de gateway exposta no código do front-end, visível a qualquer visitante.

ResultadoChave rotacionada e movida para o backend. Risco de fraude eliminado em 24h.

Quem faz a análise

Gente que faz isso há anos — não um robô rodando scanner.

Suas análises são conduzidas por profissionais de segurança ofensiva com certificações reconhecidas no mercado e experiência prática em produtos digitais brasileiros. Cada achado passa por validação manual antes de chegar no seu relatório.

+8 anosde experiência em AppSec e pentest

+120superfícies analisadas

100%dos achados validados manualmente

Brasilcontexto LGPD, PIX e gateways locais

OSCPOffensive Security Certified Professional

eWPTX / eMAPTWeb & Mobile Application Pentesting

Metodologia OWASPOWASP Testing Guide & Top 10

Responsible disclosureReportes de vulnerabilidade conduzidos com ética

FAQ

Perguntas frequentes

Sim. A análise é solicitada e autorizada por você, dono ou responsável pelo produto. Por isso validamos um e-mail do mesmo domínio e pedimos sua declaração de autorização antes de qualquer verificação. Trabalhamos apenas sobre ativos que você tem o direito de mandar testar.

A leitura inicial é entregue em até 48h no e-mail informado, com o score de readiness, os principais pontos de atenção e o próximo passo recomendado pelo risco encontrado.

Sim, é segura. O Quick Check é totalmente passivo: olhamos apenas o que já está publicamente acessível, como faria qualquer pessoa na internet. Não pedimos senha, código-fonte nem credenciais, e não executamos testes invasivos nesta etapa.

O Quick Check é a leitura inicial gratuita do que está exposto. A Validação Externa (Black Box) testa o produto de fora, sem acesso interno. A Validação Autenticada (Gray Box) entra em fluxos com login, permissões e APIs privadas. A Auditoria Completa (White Box) revisa código, arquitetura e configurações por dentro. Cada nível só faz sentido conforme o risco real do seu produto — e a gente recomenda o próximo passo, sem empurrar.

No Quick Check, não — é totalmente passivo. Nos planos pagos, qualquer teste de exploração é autorizado, limitado e combinado com você antes de começar, sempre dentro de um escopo definido em conjunto.

Não. Nenhuma empresa séria garante segurança absoluta. A Lab Shield reduz risco e aumenta visibilidade sobre o que está exposto, mas não substitui auditorias formais exigidas por normas específicas. O objetivo é que você saiba onde estão os riscos e o que priorizar.

Sim, a qualquer momento. O acompanhamento mensal é opcional e serve para reteste e monitoramento contínuo — você mantém enquanto fizer sentido para o seu produto.

Confidencialidade & autorização

Você entrega acesso com segurança — e dentro da lei.

Entendemos que dar acesso ao seu produto exige confiança. Por isso o processo é formal, autorizado e transparente do início ao fim.

Trabalhamos sob NDA

Acordo de confidencialidade disponível antes de qualquer análise. O que encontramos fica entre você e a Lab Shield.

Evidências descartadas

Dados e evidências coletados são armazenados de forma segura e descartados após o reteste e a entrega final.

Sempre autorizado

Nenhuma análise começa sem sua autorização explícita por escrito, validada pelo domínio. Nada é testado sem seu consentimento.

Escopo combinado

Definimos juntos exatamente o que será testado, quando e até onde. Sem surpresas, sem impacto na sua operação.

Próximo passo

Escolha o melhor caminho para validar seu produto.

Quer começar simples?

Faça uma análise gratuita da superfície pública do seu site, app ou API. Resultado em até 48h, sem compromisso.

Analisar meu site grátis

Tem um escopo mais complexo?

Múltiplos produtos, ambiente crítico ou dados sensíveis? Conte o básico e retornamos com uma recomendação de escopo.