Olha meu ponto é justamente esse: não é viável do jeito que você está colocan... · saraiva

Em resposta a Queria validar uma ideia de "pentest" automatizado

Olha meu ponto é justamente esse: não é viável do jeito que você está colocando.

A partir do momento que você quer testar telas autenticadas, fluxo interno, níveis de acesso, etc., já não estamos mais falando de uma verificação simples. Isso vira pentest mais profundo, que depende de contexto da aplicação, entendimento do negócio e várias informações técnicas (token, sessão, perfis, URLs específicas…).

pois mesmo para testar apenas xss e sqli de um sistema, tem que ser feito por completo (todas as telas) e nao acredito que um PME tenha facilidade de configurar essa ferramenta.

Isso simplesmente não combina com uma ferramenta pensada para PME, que precisa ser simples e quase “plug and play”. Se eu começo a pedir JWT, cookie, usuário de teste e por aí vai, o produto deixa de ser acessível e passa a ser coisa de dev ou time de segurança.

Então a sua ideia não está errada tecnicamente, mas vejo que seria para outro publico. Eu já peguei vulnerabilidades nessa leva de vibe coding e quando fui falar com o criador do projeto, qualquer termo um pouco tecnico ja nao fincionava.

Lembrando que se tu vende uma ferramenta que garante pegar XSS e SQLi e em alguma pagina nao identifica, não dou advogado mas talvez possa ter algum problema (a não ser que seja gratuita )

Novamente, vejo que sua ideia é interessante mas nao para esse publico.

LoRA

12 horas atrás

Concordo muito com você, só que minha ideia provavelmente foi mal explicada. Não quero criar uma ferramenta profunda que resolva todos os problemas, apenas uma ferramenta que ajude a evitar o vazamento de erros mais básicos e críticos.
E realmente, o público de PME é mais leigo, e seria difícil eles comprarem o produto sem gerar algum problema futuro. Então acho que o público que vou seguir provavelmente será o pessoal de SaaS e freelancers.

Mas obrigado pelo feedback!