Início / Recursos / Teste de invasão
Pilar · Pentest

Teste de invasão (pentest): o que é e como funciona

Um ataque simulado e autorizado que explora as falhas de verdade — para você corrigi-las antes que o criminoso as encontre.

Atualizado em julho de 2026 · por NoBug Tecnologia · 6 min de leitura

Resposta rápida

Um teste de invasão (pentest, de penetration test) é um ataque simulado e autorizado contra os seus sistemas. Um especialista se coloca no lugar de um criminoso e tenta invadir de verdade — explorando falhas, encadeando brechas e validando o impacto real — para revelar por onde um ataque de verdade entraria. No fim, você recebe um relatório com o que foi encontrado e como corrigir, antes que a falha seja usada contra você.

Deixar um sistema no ar é apostar que ninguém vai achar a porta destrancada. O pentest é a maneira de descobrir isso por conta própria: contratar alguém para tentar arrombar a porta, com sua permissão, e te avisar exatamente onde ela cede — antes que um invasor real faça o mesmo sem avisar.

Pentest não é scan de vulnerabilidade

É comum confundir os dois, mas eles são bem diferentes. Um scanner de vulnerabilidade é uma ferramenta automática: ele varre o sistema, compara com uma lista de falhas conhecidas e cospe um relatório. É rápido, barato e útil como higiene básica — mas não sabe o que é real e o que é falso alarme, nem qual o impacto de fato.

Um pentest vai muito além. Um profissional pega os resultados, explora as falhas de verdade, encadeia várias brechas pequenas em um ataque completo e valida o impacto real. Um scanner diz "esta senha é fraca". O pentester usa essa senha fraca para entrar, escalar privilégios e provar que consegue chegar até o banco de dados de clientes. A diferença entre "talvez seja um problema" e "isto expõe todos os seus dados" é justamente o pentest.

Os tipos: black, gray e white box

Os testes variam conforme quanto o pentester sabe do alvo antes de começar. Quanto menos conhecimento, mais parecido com um ataque real; quanto mais, mais fundo e mais rápido o teste cobre o sistema.

TipoConhecimento do alvoSimula
Black boxZero — o pentester começa como um estranho, sem credenciais nem diagramas.Um criminoso externo qualquer, batendo na porta pela primeira vez.
Gray boxParcial — recebe alguns acessos, como um login de usuário comum ou parte da documentação.Um cliente, fornecedor ou funcionário com acesso limitado que decide abusar dele.
White boxTotal — tem código-fonte, arquitetura e credenciais de administrador.Uma auditoria profunda para cobrir o máximo de falhas no menor tempo.

Nenhum é "melhor" — cada um responde uma pergunta diferente. O black box mede o que um invasor descobriria sozinho; o white box encontra o maior número de falhas por hora de trabalho.

OWASP Top 10

A OWASP (Open Worldwide Application Security Project) é uma fundação sem fins lucrativos que mantém o OWASP Top 10: a lista das dez categorias de falha mais críticas e comuns em aplicações web. É a referência mundial que orienta qualquer pentest sério — se um teste não cobre o Top 10, ele deixa passar justamente o que mais é explorado no mundo real.

CódigoCategoria (pt-BR)
A01Broken Access Control — Controle de acesso quebrado
A02Cryptographic Failures — Falhas de criptografia
A03Injection — Injeção (SQL, comandos e afins)
A04Insecure Design — Design inseguro
A05Security Misconfiguration — Configuração de segurança incorreta
A06Vulnerable and Outdated Components — Componentes vulneráveis e desatualizados
A07Identification and Authentication Failures — Falhas de identificação e autenticação
A08Software and Data Integrity Failures — Falhas de integridade de software e dados
A09Security Logging and Monitoring Failures — Falhas de registro e monitoramento
A10Server-Side Request Forgery (SSRF) — Falsificação de requisição no servidor

Como é um bom relatório de pentest

O valor do pentest não está em achar falhas — está em conseguir corrigi-las. E isso depende do relatório. Um bom relatório de pentest tem:

E tão importante quanto o relatório é como o teste foi conduzido: sem risco à operação. Um pentest responsável roda em horário combinado, com autorização por escrito, evitando qualquer ação que possa derrubar um sistema em produção. É assim que o Argos faz: pentest com metodologia OWASP Top 10, relatório em português, com autorização e em horário acordado.

Com que frequência fazer

Segurança não é foto, é filme. Um pentest fotografa o sistema num momento — e o sistema muda o tempo todo. Por isso a recomendação é fazer pentest ao menos uma vez por ano e, principalmente, depois de mudanças grandes: um novo módulo, uma migração de infraestrutura, uma integração com terceiros ou uma reformulação da aplicação. Cada mudança relevante pode abrir uma porta nova que o teste anterior nem podia enxergar.

Top 10
As falhas por trás da maioria dos ataques web
1x/ano
Frequência mínima recomendada
PT-BR
Relatório em português, com plano de correção

O pentest acha o buraco; o SOC gerenciado vigia a porta 24 horas. Juntos, formam a base da defesa: um encontra a falha antes do criminoso, o outro detecta e bloqueia o ataque quando ele chega. E quando algo passa, entra a resposta a incidentes. O Argos reúne os três — SOC 24h com bloqueio automático, plantão e pentest — operado pela NoBug.

Perguntas frequentes

O pentest é seguro para o meu site?

Sim, quando feito por um time sério. O teste é combinado com você, roda em horário acordado e evita ações que possam derrubar a operação. O objetivo é achar a falha e provar o impacto, não causar dano. No Argos, o pentest é feito com autorização, em horário combinado e sem risco à operação.

Preciso autorizar o pentest?

Sim, e isso não é opcional. Testar um sistema sem autorização do dono é crime. Todo pentest legítimo começa com uma autorização por escrito que define o que pode ser testado, quando e até onde o teste pode ir. Sem esse documento, não é pentest — é invasão.

Qual a diferença entre pentest e SOC?

São complementares. O pentest é um evento pontual que acha as falhas antes do criminoso e mostra como corrigir. O SOC gerenciado é a vigilância contínua, 24 horas por dia, que detecta e bloqueia ataques quando eles acontecem. Um encontra o buraco; o outro vigia a porta o tempo todo.

Quanto tempo leva um pentest?

Depende do tamanho e da complexidade do alvo, mas costuma levar de alguns dias a poucas semanas entre a execução dos testes e a entrega do relatório. Um escopo bem definido no início encurta o prazo e torna o resultado mais útil.

Quer descobrir suas falhas antes do criminoso?

O Argos faz pentest com metodologia OWASP Top 10 e relatório em português — com autorização, em horário combinado e sem risco à operação. A gente entende seu ambiente numa conversa rápida e monta o escopo com você.