Um relatório de pentest deve incluir evidências das vulnerabilidades?

Sim. Todo achado deve ter evidência reproduzível: screenshot, request/response HTTP, código explorado, ou log de sistema. Relatórios sem evidências são inaceitáveis porque impedem a equipe de reproduzir e confirmar a vulnerabilidade antes de corrigi-la.

Pentest Web 22 mar. 2025 8 min de leitura

Como avaliar um relatório de pentest: o que deve e o que não deve estar lá

Q: Qual é a diferença entre um relatório executivo e um relatório técnico de pentest?

O relatório executivo é voltado para gestores e diretores: resume o nível de risco geral, o impacto para o negócio e as prioridades de remediação sem entrar em detalhes técnicos. O relatório técnico é destinado à equipe de desenvolvimento e segurança: contém a evidência completa de cada vulnerabilidade, passos de reprodução, código de exploração e orientações detalhadas de correção.

Muitas organizações contratam pentest mas não sabem como avaliar se o relatório entregue é de qualidade. Este guia apresenta critérios objetivos para gestores e equipes técnicas avaliarem a qualidade de um laudo de segurança.

Por que a qualidade do relatório importa tanto quanto o teste

Um pentest profissional vale pela qualidade da análise realizada, mas o valor prático para a organização está no relatório. Um teste técnico impecável que resulta em um relatório confuso, incompleto ou sem evidências é um desperdício de investimento.

A equipe de desenvolvimento precisa saber exatamente o que corrigir e como. O CISO precisa entender o risco para o negócio. O conselho ou a auditoria precisa de evidência do processo. Um bom relatório serve a todos esses públicos.

O que todo relatório de pentest deve conter

1. Resumo executivo

Uma a duas páginas destinadas a gestores não técnicos. Deve responder: qual é o nível geral de risco? Houve achados criticos? Qual o impacto potencial para o negócio? Quais são as tres prioridades imediatas de remediação?

Red flag: resumo executivo com jargão técnico excessivo, sem traducão de risco para linguagem de negócio.

2. Escopo documentado

O relatório deve deixar claro o que foi testado: URLs, ranges de IP, versoes de aplicação, perfis de usuario utilizados nos testes (não autenticado, usuario comum, administrador), e o que ficou fora do escopo. Isso é crítico para saber o que o teste não cobriu.

3. Metodologia utilizada

O relatório deve referenciar a metodologia aplicada: OWASP Web Security Testing Guide, PTES (Penetration Testing Execution Standard), NIST SP 800-115 ou outra. Isso permite que a organização avalie a abrangência da cobertura e compare resultados entre diferentes fornecedores.

4. Cada achado com campos padrao

Cada vulnerabilidade deve ter no mínimo:

Título e classificação: nome da vulnerabilidade e categoria (ex: SQL Injection, IDOR)
Severidade com CVSS: score numérico e justificativa das métricas utilizadas
Descripão: o que é a vulnerabilidade e por que existe
Impacto: o que um atacante pode fazer ao explorar
Evidência: screenshot, request/response, código ou log
Passos de reproducão: como replicar o achado
Recomendacão de remediação: orientacão técnica específica, não genérica

5. Visão consolidada dos achados

Uma tabela ou gráfico com a distribuicão de achados por severidade (Critical, High, Medium, Low, Informational) permite uma visão rápida do perfil de risco da aplicação e facilita o acompanhamento do processo de remediação.

Red flags: o que indica um relatório de baixa qualidade

Red Flag	O que indica
Achados apenas de scanner automático	Sem revisão manual; falsos positivos nao filtrados; falha em lógica de negócio
Sem evidências	Impossível confirmar se o achado é real ou falso positivo
Remediações genéricas	"Atualize seus sistemas" sem especificar o que e como; equipe de dev nao consegue agir
CVSS sem justificativa	Scores que nao refletem o contexto real; superestimação ou subestimação de risco
Sem escopo documentado	Impossível saber o que foi ou nao testado; sem valor para auditoria

Como usar o relatório no processo de remediação

Um bom relatório é ponto de partida para um processo estruturado. Recomendamos criar tickets individuais no sistema de gerenciamento de tarefas (Jira, Linear, GitHub Issues) para cada achado, vinculando o registro ao relatório original.

Priorize a remediação por severidade CVSS e impacto no negócio, não apenas pelo score técnico. Uma vulnerabilidade High em um sistema interno sem acesso externo pode ter prioridade menor que uma Medium em um endpoint de pagamento público.

Solicite ao fornecedor de pentest uma sessão de retest após a remediação. O retest confirma que as correccoes foram efetivas e não introduziram novas vulnerabilidades. Empresas sérias incluem retest no escopo do contrato.

Perguntas frequentes

+ Qual a diferença entre relatório executivo e relatório técnico?

O relatório executivo é voltado para gestores: resume o nível de risco geral, o impacto para o negócio e as prioridades de remediação sem entrar em detalhes técnicos. O relatório técnico é destinado à equipe de desenvolvimento e segurança, com evidência completa de cada vulnerabilidade e orientacoes detalhadas de correcão.

+ O relatório deve incluir evidências das vulnerabilidades?

Sim. Todo achado deve ter evidência reproduzível: screenshot, request/response HTTP, código explorado, ou log de sistema. Relatórios sem evidências impedem a equipe de reproduzir e confirmar a vulnerabilidade antes de corrigi-la.

+ O que é CVSS e por que ele importa no relatório?

O CVSS (Common Vulnerability Scoring System) é um padrão internacional para pontuar a severidade de vulnerabilidades. Um relatório que usa CVSS permite comparar objetivamente a gravidade dos achados e priorizar a remediação. Scores entre 0.0 e 10.0, com classificacoes Low, Medium, High e Critical.

Relatórios claros, evidências sólidas, remediações acionáveis

Cada relatório da First Security segue estrutura padronizada com CVSS, evidências completas, passos de reproducão e recomendacoes técnicas específicas para sua stack.

Solicitar pentest