Data Sheet

WAS · Web Application Scanning · Módulo Core Based

Suas aplicações web estão sendo testadas agora. Por você ou pelo atacante?

Varredura dinâmica (DAST) que descobre vulnerabilidades em aplicações web públicas, privadas e em homologação, com evidência técnica pronta para remediação e suporte a cenários pós-autenticação.

40+

categorias de vulnerabilidade detectadas

métodos de autenticação para varredura profunda

15+

frameworks web suportados nativamente

OWASP

Risk Rating Methodology para classificação

96% das aplicações web têm vulnerabilidades sérias, a maioria nunca detectada por testes manuais esporádicos. A superfície de ataque cresce a cada deploy: novas rotas de API, dependências atualizadas, configurações alteradas. Testes pontuais de pentest cobrem um momento no tempo. O atacante testa continuamente.

O que é o WAS

O EcoTrust WAS interage dinamicamente com suas aplicações em execução, exatamente como um atacante faria, usando crawling inteligente, varreduras passivas e ativas, e payloads reais. O resultado é uma visão completa das vulnerabilidades exploráveis, com evidências técnicas prontas para remediação: payload usado, request/response HTTP e recomendação gerada por IA generativa.

Crawling

Mapeia toda a aplicação

Scan passivo

Headers, configs, exposições

Scan ativo

Payloads e exploits

Classificação

OWASP Risk Rating

Remediação

IA generativa

Benefícios principais

Detecta o que pentesters manuais não conseguem escalar

Varredura contínua e automatizada cobre cada deploy, cada nova rota de API e cada mudança de configuração, sem depender de ciclos de teste agendados.

Evidência técnica pronta para o dev corrigir

Cada vulnerabilidade vem com payload exato, request/response HTTP, parâmetro afetado e recomendação de mitigação com referência a CWE e OWASP.

Varredura autenticada que enxerga além do login

Suporte a JWT, cookies de sessão e formulários de login. Acessa áreas protegidas e simula cenários reais de ataque pós-autenticação.

Modo cloud e modo connect, sem agente

Modo cloud para aplicações públicas. Modo connect, onde o scanner está provisionado localmente e alcança aplicações internas ou em homologação via EcoTrust Connect. Sem agente instalado.

Casos de uso

DevSecOps, segurança integrada ao pipeline de homologação

Integre o WAS ao ciclo de homologação para detectar vulnerabilidades antes de cada release. Evidências técnicas no formato que o dev entende e consegue corrigir sem intermediários.

Empresas com portfólio de aplicações web expostas

Mapeie e monitore continuamente todas as aplicações públicas, desde o site institucional até APIs de parceiros. Console centralizada com visão consolidada de risco por aplicação.

Auditorias de conformidade e certificações de segurança

Relatórios estruturados com evidências técnicas e mapeamento para OWASP Top 10, NIST e ISO 27001. Documentação pronta para responder a questionários de segurança de clientes e parceiros.

Remediação de vulnerabilidades 10× mais rápida com evidências técnicas prontas para ação.

Canal EcoTrust

Parceiro MSSP, São Paulo, Brasil

Especificações

AbordagemDAST, Dynamic Application Security Testing

DeploymentModo cloud ou modo connect (WSS)

Modos de scanAutenticado e não autenticado

ClassificaçãoOWASP Risk Rating + CVSS

ReferênciasOWASP, CWE, WASC, MITRE

RemediaçãoIA generativa com referência por CVE

Políticas de scanTemplates prontos e customizáveis

Principais vulnerabilidades

SQL InjectionConfirmado com payload real

XSS4 tipos de cross-site scripting

SSRF / SSTIServer-side request e template injection

JWT ExploitManipulação de tokens e claims

Path / LFI / RFILeitura e inclusão de arquivos

Cloud leaksS3 Bucket, metadata, .env expostos

Compliance e frameworks

OWASP Top 10LGPDISO 27001NIST CSF 2.0CWE/SANS 25WASC