Plataforma profissional de segurança ofensiva que combina subferramentas especializadas, agentes pentesters autônomos e scripts automatizados de exploração. Da descoberta de vetores de ataque ao relatório técnico com correções prontas para o seu editor.
das aplicações web tem pelo menos uma vulnerabilidade crítica em produção.
em danos globais causados por ataques cibernéticos em 2025.
tempo médio para descoberta de uma violação de dados.
das PMEs encerram operações em até 6 meses após um ataque grave.
Desenvolvedores movem rápido. Segurança fica para depois. Código gerado por IA escala vulnerabilidades em velocidade industrial: IDOR, SQL Injection, chaves expostas no frontend, autenticação quebrada. O atacante não precisa de semanas. Precisa de minutos.
O ElliotScan combina subferramentas especializadas, agentes pentesters autônomos e scripts automatizados para explorar sua aplicação antes que um atacante o faça. Cada ferramenta opera dentro de um pipeline dedicado, identificando, classificando e gerando correções em tempo real.
Subferramentas especializadas, agentes pentesters autônomos e scripts automatizados operam em pipelines paralelos, cada um focado em um vetor de exploração. Selecione, execute e receba findings com contexto técnico completo.
Agente especializado em varredura de segredos. Analisa JS bundles, HTML source e configurações públicas para detectar API keys, tokens e credenciais expostas com zero falso-positivo.
Testa proteção CSRF em formulários e APIs, detecta privilege injection no registro e falhas de autorização horizontal/vertical.
Agente que verifica Row Level Security desabilitado no Supabase e testa rate limiting em endpoints críticos de login, registro e reset de senha.
Agente autônomo que descobre endpoints ocultos, testa verb tampering, detecta Swagger/Actuator expostos e executa fuzzing automático de parâmetros via pipeline de exploração.
Session fixation, token abuse, mass assignment, OAuth misconfiguration. Detecta .git, .env, Docker, Terraform e source maps expostos.
Agente especialista em aplicações geradas por IA (Cursor, Bolt, Lovable, v0). Pipeline dedicado que detecta padrões inseguros: RLS desabilitado, API keys no bundle, IDORs em CRUDs gerados automaticamente.
Crawler autônomo com Playwright. Navega a aplicação, captura Web Vitals reais, verifica links quebrados, elementos mortos e mede latência de cliques.
Agente de inteligência que sintetiza os findings de todos os pipelines em relatórios executivos completos, com prompts de correção prontos para Cursor, Copilot ou Claude Code.
Cada módulo opera com um agente IA dedicado que executa, analisa e decide dentro do pipeline de exploração. Sem regras estáticas, com inteligência adaptativa.
Sem esperar semanas por uma proposta de consultoria. Configure o alvo, clique em escanear, receba o relatório. Simples assim.
O agente de relatórios sintetiza cada finding com contexto técnico, risk score CVSS e prompts de correção prontos para colar no Cursor, Copilot ou Claude Code.
Não é scan superficial. Agentes executam exploração ativa com classificação CVSS padronizada (Crítico/Alto/Médio/Baixo/Info) e referências CWE/CVE.
Agentes especializados para apps construídos com IA (Cursor, Bolt, Lovable). Detecta os padrões inseguros que IAs introduzem sistematicamente.
Vibe Audit e UX Explorer grátis, sem cartão. Upgrade para Pro quando precisar de Dev Audit, AI Reports e mais scans.
A plataforma reúne subferramentas de segurança ofensiva, agentes pentesters, scripts automatizados, análise UX e relatórios técnicos com IA. Tudo acessível direto do navegador, sem instalar nada.
Configure o alvo, viewport e parâmetros. O agente navega a aplicação como um usuário real, captura Web Vitals, valida links/redirects e mede latência de cliques.
Selecione agentes, configure profundidade, targets e parâmetros de exploração. Tudo self-service, com resultados em tempo real no terminal integrado.
Cada pipeline combina subferramentas profissionais, agentes pentesters autônomos e scripts automatizados de exploração, trabalhando em conjunto para mapear, explorar e documentar cada vulnerabilidade.
Cadastre-se grátis em segundos. Sem cartão de crédito, sem compromisso.
Informe a URL da sua aplicação e selecione os módulos de exploração que deseja executar.
Pipelines paralelos com agentes IA mapeiam a superfície e exploram cada vetor de ataque. Acompanhe em tempo real no terminal integrado.
Relatório técnico completo com risk score, detalhes das vulnerabilidades e prompts de correção prontos para o seu editor.
Projetado para quem constrói, protege e lidera produtos digitais.
Construiu com Cursor, Bolt, Lovable ou v0? Valide a segurança do seu projeto antes de publicar. Detecte padrões inseguros que IAs introduzem sistematicamente.
Segurança para projetos IAFerramentas automatizadas para reconhecimento, exploração inicial e triagem de vulnerabilidades. Acelere engagements com pipelines de exploração prontos.
Exploração profissionalVisibilidade contínua sobre a postura de segurança do produto. Relatórios executivos com IA, risk score e correções acionáveis para o time de engenharia.
Gestão de riscoSem equipe de segurança dedicada? O ElliotScan funciona como seu pentester virtual, encontrando vulnerabilidades críticas sem contratos de consultoria.
Segurança acessívelVibe Audit e UX Explorer gratuitos para sempre. Upgrade para Pro quando precisar de módulos avançados, AI reports e mais scans.
Para profissionais que querem explorar vulnerabilidades com IA
Para times que exigem exploração profissional com IA
Para operações de segurança em escala
Tudo o que você precisa saber sobre a plataforma, segurança e processos éticos.
O ElliotScan é uma plataforma profissional de segurança ofensiva automatizada que combina subferramentas especializadas, agentes pentesters autônomos e scripts automatizados de exploração. Ele realiza testes de penetração (pentests) em aplicações web, identificando vulnerabilidades reais antes que atacantes mal-intencionados o façam.
Ethical hacking (hacking ético) é a prática autorizada de testar sistemas computacionais em busca de vulnerabilidades de segurança, simulando técnicas usadas por atacantes reais — porém com permissão explícita do proprietário do sistema. É uma disciplina reconhecida internacionalmente, regulamentada por certificações como CEH, OSCP e PNPT, e essencial para proteger dados sensíveis, garantir conformidade com LGPD/GDPR e prevenir incidentes de segurança.
Sim, desde que utilizado conforme nossos Termos de Uso. O ElliotScan é projetado exclusivamente para testes autorizados em aplicações das quais o usuário é proprietário ou possui autorização formal por escrito. Realizar varreduras em sistemas de terceiros sem consentimento é ilegal conforme o Art. 154-A do Código Penal Brasileiro (Lei nº 12.737/2012 — Lei Carolina Dieckmann) e legislações internacionais como o CFAA (EUA) e o Computer Misuse Act (Reino Unido). O usuário é integralmente responsável pelo uso que faz da ferramenta.
A plataforma cobre os principais vetores do OWASP Top 10 e além, incluindo: CSRF (Cross-Site Request Forgery), IDOR (Insecure Direct Object References), falhas de autenticação e autorização (Auth Bypass), secrets exposure (chaves de API, tokens vazados em código-fonte), falhas em políticas RLS (Row Level Security) do Supabase, rate limiting inadequado, fuzzing de endpoints de API, e vulnerabilidades em pipelines DevOps/CI-CD.
Absolutamente. Todos os dados são transmitidos via TLS 1.3 e armazenados com criptografia em repouso. Os resultados de varredura são acessíveis exclusivamente ao proprietário da conta e membros autorizados da organização. Não compartilhamos, vendemos ou utilizamos seus dados de scan para qualquer finalidade além da prestação do serviço. Nossa infraestrutura segue as melhores práticas de segurança da informação e está em conformidade com a LGPD (Lei nº 13.709/2018). Consulte nossa Política de Privacidade para mais detalhes.
A plataforma é projetada para desenvolvedores (especialmente vibe coders que usam IA para gerar código), pentesters profissionais e red teamers que buscam automação, CTOs e líderes técnicos que precisam garantir a segurança de seus produtos, e startups que não possuem equipes dedicadas de AppSec. O uso é restrito a profissionais e organizações que necessitam de ferramentas de segurança ofensiva para fins legítimos.
O uso do ElliotScan para realizar varreduras, testes de penetração ou qualquer forma de exploração em sistemas sem autorização explícita do proprietário constitui crime cibernético. As consequências incluem: suspensão imediata e permanente da conta sem reembolso; responsabilização criminal conforme Art. 154-A do Código Penal (pena de 3 meses a 1 ano de detenção, agravada em caso de obtenção de dados); potencial responsabilização civil por danos causados; e cooperação plena com autoridades competentes mediante ordem judicial. O ElliotScan não compactua com atividades ilegais e registra logs de auditoria de todas as operações realizadas.
Não necessariamente. O ElliotScan foi projetado para ser acessível: basta informar a URL da sua aplicação, selecionar os módulos desejados e iniciar o scan. Os agentes IA executam as explorações automaticamente e geram relatórios técnicos com classificação de severidade, descrição detalhada de cada vulnerabilidade e fix prompts — sugestões de correção prontas para colar no seu editor ou IDE. Profissionais de segurança podem, naturalmente, se beneficiar de análises mais profundas e configurações avançadas nos planos Pro e Enterprise.
O plano Free inclui acesso a módulos essenciais como Secrets Scanner, CSRF & Auth Bypass, Supabase RLS & Rate Limit, Vibe Audit e UX Explorer — tudo com até 3 scans por mês. Não é necessário cartão de crédito para começar. Para volume ilimitado, módulos avançados (API Fuzzer, Auth Chain, DevOps Leak) e relatórios com IA, consulte nosso plano Pro a partir de $29/mês.
Sim. Operamos em total conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Coletamos apenas os dados estritamente necessários para a prestação do serviço, garantimos o direito de acesso, retificação, portabilidade e exclusão dos dados pessoais, e adotamos medidas técnicas e organizacionais adequadas para proteger as informações dos nossos usuários. Para exercer seus direitos como titular de dados, entre em contato pelo e-mail privacidade@elliotscan.com.
A vulnerabilidade já pode estar lá. A diferença é quem vai encontrá-la primeiro: suas ferramentas profissionais ou um atacante.