HackMyApp · Pentester com IA + scanner de vulnerabilidades web
HackMyApp é um pentester com IA: cole o domínio (ou conecte o GitHub) e, ao fim do scan, uma IA agêntica pentesta o alvo de verdade — levanta hipóteses, faz sondas HTTP ao vivo no alvo autorizado, confirma as falhas e entrega um relatório com achados verificados, PoC e priorização por severidade, em minutos.
O que é um pentest com IA?
Pentest com IA é um teste de invasão em que uma inteligência artificial agêntica age sobre o alvo autorizado — forma hipóteses, envia requisições de sondagem ao vivo e confirma vulnerabilidades com prova de conceito, em vez de só listar alertas estáticos. No HackMyApp, a IA Pentester forma hipóteses a partir do scan, envia sondas HTTP não-destrutivas e escopadas (anti-SSRF, rate-limited, auditadas), e marca um achado como confirmado só quando uma sonda ao vivo prova a falha — com a prova de conceito (a requisição + a resposta decisiva). Dispara automaticamente ao fim de cada scan; nenhum segundo clique.
Modo externo · só com o domínio
Nove checagens automatizadas no ângulo de atacante, sem precisar de acesso, agente ou cooperação do seu time:
- Reconhecimento — subdomínios, IPs e endpoints públicos.
- Crawler completo — todas as rotas, formulários e conteúdo carregado por JavaScript.
- Pontos de entrada — cada parâmetro, formulário e endpoint que aceita input.
- Portas e serviços — Redis, Mongo, SSH e versões.
- Configs de segurança — headers HTTP (CSP, HSTS, X-Frame), TLS, cookies seguros.
- Pastas e arquivos esquecidos — /admin, .env, .git, backups.
- Vulns injetáveis — XSS, SQLi e IDOR em cada parâmetro.
- CVEs ativos — versões cruzadas com o banco público.
- Score e PDF — nota 0–100 e relatório completo.
Modo profundo · conecta o GitHub
Read-only, revogável a qualquer momento, repos privados OK. O scan externo acha o que vaza pra fora. Quando você conecta o GitHub, a gente também olha o que só dá pra ver de dentro:
- SAST — análise estática por padrões de XSS, SQLi, command injection no source.
- SCA · dependências — npm, pip, maven, go.mod, Cargo.toml cruzados com CVEs.
- Secrets · histórico inteiro — tokens, chaves AWS, .env vazados em qualquer commit.
- IaC — Dockerfile com root, security groups 0.0.0.0/0, RBAC permissivo.
Achados típicos
Exemplo de relatório (alvo: minhaempresa.com.br · 3 minutos · score 42/100 · risco HIGH):
- SQL injection em
/api/user?id= — permite ler ou alterar dados via parâmetro id.
- SSH 9.7p1 com CVE-2024-6387 (regreSSHion) — pre-auth RCE via race condition.
- Painel
/admin sem autenticação — direct object reference.
- Redis exposto na
tcp/6379 — bind 0.0.0.0, sem auth, sem TLS.
- Headers CSP e HSTS ausentes — facilita XSS reflection e session hijacking.
Planos
- Free Trial — R$ 0 · 1 scan único
- Starter — R$ 80/mês · 1 ativo com re-scan quinzenal
- Pro — R$ 160/mês · 1 ativo com re-scan semanal
- Premium — R$ 290/mês · cadência mais agressiva
- Team — R$ 240/mês · até 5 sites · 20 scans/mês
- Business — R$ 650/mês · até 20 sites · 100 scans/mês
- Enterprise — sob consulta · ilimitado
Cancela quando quiser. Sem fidelidade. Uso autorizado apenas em ativos sob sua administração (Lei 12.737/2012).
Perguntas frequentes
Posso escanear qualquer site?
Só os seus, ou de alguém que te autorizou por escrito. Escanear site de outra pessoa sem permissão é crime no Brasil (Lei 12.737/2012), então use a plataforma apenas em ativos autorizados.
Quanto tempo demora?
Entre 1 e 8 minutos, dependendo do tamanho do site. Você acompanha o progresso em tempo real e recebe o PDF assim que o scan termina.
A IA realmente pentesta ou só lê o resultado?
Ela pentesta. Após o scan, a IA agêntica envia sondas HTTP ao vivo ao alvo autorizado para confirmar as falhas e só marca um achado como confirmado quando uma sonda prova a vulnerabilidade — com prova de conceito.
Vai derrubar meu site?
Quase nunca. O ritmo é parecido com navegação intensa e controlada, e as sondas da IA são não-destrutivas e com rate-limit. Em produção sensível, vale agendar em horário de menor movimento.
Quem vê meus relatórios?
Só você. Cada conta tem os dados isolados. A gente não compartilha e não usa seus relatórios para treinar modelos.
Substitui um pentest profissional?
Não. Pentest humano encontra bugs criativos que automação não encontra. A plataforma cobre o trabalho repetitivo e frequente que costuma ficar sem dono.
Começar meu scan →
Este é o conteúdo essencial pra crawlers e leitores sem JavaScript. A versão interativa do site requer JavaScript habilitado.