Um scan em sete atos. Em 4 min 23 s.
Cada scan do Security Radar passa por 7 estações numeradas I-VII · cada uma com responsabilidade única, evidência assinada e tempo-de-execução auditável. Nenhum ato é caixa-preta: stack OSS, versões, templates e specs normativas estão declarados abaixo. Essa é a metodologia que sustenta o Art. 37 LGPD obrigatório pra operador de dados em escala.
Descoberta · Subfinder · 20+ fontes OSINT passivas
Primeiro ato não toca o alvo. Subfinder (ProjectDiscovery, MIT) consulta Censys, Chaos, VirusTotal, SecurityTrails, Certificate Transparency logs e outras 15+ fontes passivas pra enumerar subdomínios do domínio raiz. 127 subdomínios típicos são mapeados em ~45 segundos sem gerar uma única requisição HTTP contra a infraestrutura do cliente. Zero risco de WAF-trigger no estágio de reconhecimento · zero conflito com rate-limits internos · zero tráfego ativo.
Fingerprint · httpx · WAF detect · JARM · technology stack
httpx (também ProjectDiscovery MIT) probe cada subdomínio vivo com requisições
HTTP mínimas via retryablehttp. Retorna status, título, tecnologia
(Wappalyzer embutido), hash JARM do TLS e detecção de CDN/WAF (Cloudflare,
Akamai, AWS WAF). ~412 endpoints são caracterizados em ~1 minuto com
rate-limit de 2 req/s respeitando robots.txt e recuando em
5xx consecutivos. Quando WAF é detectado, o Security Radar marca findings
downstream com atenuante Environmental no CVSS.
DAST · Nuclei · OWASP Top 10:2025 · 6.500+ templates
Nuclei executa templates YAML declarativos contra cada endpoint vivo. A
biblioteca comunitária oficial nuclei-templates agrega
6.500+ templates curados por 900+ contribuidores, cobrindo CVEs
publicadas, misconfigurations, exposures e fingerprints. Severity mapping alinhado
ao OWASP Top 10:2025 — edição 2025 que introduziu A03 Software Supply Chain
Failures e A10 Mishandling of Exceptional Conditions. Dedup por hash
template+endpoint.
LGPD-BR · 187 templates proprietários Indícia
Sobre a base OWASP, o Security Radar soma 187 templates LGPD-BR — regras que verificam exposição de CPF/CNPJ em respostas públicas, cookies sem consentimento (Art. 8º LGPD), retenção além do declarado, endpoints vulneráveis a IDOR com dados de titulares (Art. 6º IV, Lei 13.709/18), banner de privacidade ausente e política de cookies fora de conformidade com a Res. CD/ANPD 4/2023. Cada template mapeia pra artigo específico da LGPD e referencia a Resolução ANPD aplicável.
Triagem · CVSS v3.1 · dedup · score agregado
Cada finding recebe score CVSS v3.1 conforme especificação da FIRST.org
— padrão dominante em NVD, Red Hat, Microsoft e Cisco em 2026. Escala 0-10 é
decomposta em 8 métricas Base (AV, AC, PR, UI, S, C, I, A) visíveis no export,
nunca apenas o score final. Dedup por hash template+endpoint+severity.
Score agregado do domínio calculado via média ponderada + penalty por findings
CRIT ativos. V4.0 entra como score suplementar quando a template publica.
Evidência · SHA-256 · Merkle tree · chain of custody
Cada finding é selado com hash SHA-256 conforme NIST FIPS 180-4. Hashes entram como folhas de uma Merkle tree (Ralph Merkle 1979, operacionalizada em RFC 6962 Certificate Transparency e RFC 9162). A raiz da árvore de cada ciclo é publicada junto com o export, permitindo prova de inclusão em O(log n) pra qualquer finding individual sem expor os demais. Um ciclo com 412 findings precisa de ~9 hops pra provar inclusão · mesma estrutura de Git, Bitcoin e logs públicos de CAs.
Publicação · Webhooks · export · timeline
Publicação final sai por webhooks HTTP POST assinados com HMAC-SHA-256 pros
endpoints Slack, Jira e PagerDuty do workspace. Retry 3 tentativas com
exponential backoff (1s/2s/4s + jitter), respeitando header Retry-After
em 429 e encaminhando pra DLQ se exaurir. Export disponível em PDF assinado,
CSV pra assessor jurídico, JSON pra pipeline CI/CD e CycloneDX SBOM (Enterprise).
Timeline infinita no dashboard pra compare scans · pin de baseline opcional.