GOATX
voltar para roadmap
WEB

Pentest Web — por onde começar

O caminho mais procurado e com mais material gratuito. Foque em entender HTTP, depois OWASP Top 10, e pratique muito.

pré-requisitos

  • Inglês técnico (ler documentação)
  • Lógica de programação básica (qualquer linguagem)
  • HTML, CSS e noções de JavaScript

labs para praticar

trilha passo a passo

  1. 1

    1. Fundamentos da Web

    Entenda como o navegador conversa com o servidor: requisições/respostas HTTP, métodos (GET/POST), status codes, headers, cookies, sessions e CORS.

    MDN — HTTP overview PortSwigger Academy (free)
  2. 2

    2. Ferramentas básicas

    Aprenda a usar DevTools (F12), Burp Suite Community e curl/wget. Estes são seus 3 olhos no tráfego.

    Burp Suite Community Postman
  3. 3

    3. OWASP Top 10

    As 10 falhas web mais comuns: Injection, Broken Auth, XSS, IDOR, SSRF, etc. Estude cada uma e pratique no PortSwigger Academy.

    OWASP Top 10
  4. 4

    4. SQLi, XSS e CSRF a fundo

    Domine as três falhas que aparecem em 80% dos relatórios. PortSwigger tem labs para cada uma com soluções comentadas.

  5. 5

    5. Autenticação, JWT e OAuth

    Como funcionam tokens, sessões, refresh tokens e SSO. Estude também os erros clássicos: alg=none, refresh sem rotação, redirect_uri aberto.

  6. 6

    6. Reconhecimento e enumeração

    Subdomain enum (subfinder, amass), fingerprinting (whatweb, wappalyzer), diretórios (ffuf, dirsearch), wayback (gau, waybackurls).

  7. 7

    7. Bug Bounty e relatórios

    Comece em programas Open na HackerOne ou Bugcrowd. Aprenda a escrever um bom report (impacto, PoC, mitigação).

    HackerOne — open programs

dicas de quem já passou pela trilha

  • Leia TODO writeup que aparecer no Twitter/X — bug bounty hunters compartilham técnicas em tempo real.
  • Anote payloads que funcionam num arquivo só (.md). Em 6 meses você terá um arsenal pessoal melhor que ferramenta paga.
  • Não pule labs achando que entendeu — execute mesmo. A mão grava o que o olho esquece.
  • Quando travar num CTF/lab, espere 30 min antes de ler writeup. O click sozinho ensina mais.
  • Comece a reportar em programas com escopo amplo (.gov, universidades autorizadas) — menos competição que big tech.
  • Use Burp Suite Community + extensões (Logger++, Param Miner, JWT Editor) antes de pensar em pagar Pro.
  • Aprenda a ler código (PHP, Node, Python) — quem só roda scanner nunca acha bug crítico.

ferramentas essenciais

ffuf

Fuzzer mais rápido que existe — diretórios, params, vhosts

nuclei

Scanner de templates (CVEs conhecidos)

subfinder + httpx

Recon de subdomínios + probe HTTP

Caido

Alternativa moderna ao Burp (free tier generoso)

Param Miner

Acha parâmetros HTTP escondidos

livros recomendados

  • The Web Application Hacker's Handbook (Stuttard) — bíblia clássica
  • Real-World Bug Hunting (Yaworski)
  • Bug Bounty Bootcamp (Vickie Li)