Plus de 12 000 endpoints analysés

Tu as livré vite.
Maintenant assure-toi que c'est sécurisé.

Pentesting par IA pour les startups, les devs indépendants et les équipes qui livrent plus vite que leur budget sécu ne le permet. Rapport complet de vulnérabilités en quelques minutes - pas en semaines.

Scanner ton app →Voir ce qu'on détecte
Best of Best Review Winner 2026
Best AI Penetration Testing Platform
Central Europe · 2026 · Best of Best Review
~20 mindurée moyenne d'un scanOWASPCouverture Top 10Zéroconfig requise
penetrify scan - myapp.vercel.app
$ penetrify scan https://myapp.vercel.app
// Initializing AI-driven reconnaissance...
◉ Mapping attack surface... 47 endpoints found
◉ Testing authentication flows...
◉ Checking API security, headers, configs...
 
▸ CRITICAL Broken auth - email verification bypass via direct API call
▸ CRITICAL IDOR on /api/users/:id - any authenticated user can read others
▸ MEDIUM Missing rate limiting on /api/login (brute-force possible)
▸ LOW Security headers missing: X-Frame-Options, CSP
 
✓ Scan complete. 4 findings. Full report → app.penetrify.cloud/reports/a3f8c

Pourquoi les développeurs en ont besoin

Livrer vite, c'est bien.
Livrer non sécurisé, c'est non.

La plupart des outils de sécurité sont conçus pour les entreprises avec des budgets à six chiffres. Penetrify est fait pour tous les autres.

🔓

Flux d'auth défaillants

Les applications codées à la volée sont livrées vite - et oublient souvent la vérification d'e-mail, la gestion de sessions ou les flux de reset de mot de passe. On détecte ce que votre framework n'a pas couvert.

🪪

Données utilisateurs exposées

Vulnérabilités IDOR, API qui fuient, règles de base de données mal configurées. Une mauvaise permission et les données de vos utilisateurs sont lisibles par n'importe qui. On les trouve avant que quelqu'un d'autre ne le fasse.

Angles morts du no-code

Bubble, Supabase, Firebase - d'excellents outils, mais leurs paramètres par défaut ne sont pas toujours sécurisés. Penetrify vérifie la surface d'attaque réelle, pas juste le panneau de config.

Comment ça marche

Trois étapes. Dix minutes.
Pas besoin d'équipe sécu.

01

Entre ton URL

Colle l'URL de ton application dans Penetrify. Rien à installer, aucun code à ajouter, aucune modif d'infra. Fonctionne avec n'importe quelle stack - React, Next.js, Django, Rails, no-code, tout ce qui est exposé publiquement.

https://ton-appli.com
02

L'IA scanne tout

Notre moteur cartographie ta surface d'attaque de manière autonome - endpoints, flux d'auth, API, en-têtes, configurations. Il raisonne comme un pentesteur : enchaîne les découvertes, teste les failles logiques, ne se contente pas de lancer des listes CVE.

~47 checks par endpoint
03

Des résultats actionnables

Un rapport clair avec des niveaux de sévérité, des étapes de reproduction et des guides de correction que tu peux vraiment appliquer. Pas de PDF de 200 pages remplis de faux positifs. Juste ce qui compte et comment le corriger.

CRITIQUE → MOYEN → FAIBLE

Sous le capot

Pas un scanner jouet.
Une véritable méthodologie de pentest.

Penetrify exécute les mêmes checks qu'un ingénieur sécu senior - automatisées, reproductibles, et sans la facture à 20 000 €.

🔍Ce que nous testons

Notre moteur ne se contente pas d'exécuter un scanner CVE. Il effectue une reconnaissance active, cartographie toute ta surface d'attaque et teste la logique applicative - flux d'auth, limites d'autorisation, contrôles d'accès API et failles de logique métier.

OWASP Top 10Auth & session mgmtIDOR detectionAPI fuzzingHeader analysisSecret exposureInjection testingCORS & CSP

🧠Comment nous testons

Le moteur IA enchaîne les découvertes - exactement comme un vrai attaquant. Un endpoint exposé devient une cible de reconnaissance. Une route non authentifiée devient un test IDOR. Le scan contextuel, c'est moins de faux positifs et plus de findings qui comptent vraiment.

Autonomous reconChained exploitationContext-aware AILow false-positive rateSeverity scoring

📋Ce que tu obtiens

Pas un PDF de 200 pages rempli de bruit. Chaque découverte inclut la sévérité, les étapes de reproduction et des guides de remédiation concrets, écrits pour les devs - pas pour la compliance.

CRITBroken auth - email verification bypassFix guide →
MEDNo rate limiting on /api/loginFix guide →
LOWMissing CSP and X-Frame-OptionsFix guide →

🛡️Sécurisé par conception

Penetrify ne modifie jamais tes données, n'écrit jamais dans ta base de données et n'effectue jamais d'actions destructives. Tous les tests sont en lecture seule et non invasifs. Tes utilisateurs ne verront rien. Ton app reste en ligne.

Read-only scanningNo data modificationNon-invasiveZero downtime impactYour data stays yours
47+Checks par endpoint
OWASPCouverture Top 10 complète
<5%Taux de faux positifs
0Actions destructives

Vrais scans, vraies découvertes

Ce que Penetrify détecte
en conditions réelles

Voici des findings représentatifs de scans sur des produits SaaS early-stage - exactement le type de vulnérabilités qui sont exploitées avant même que vous sachiez qu'elles existent.

Étude de cas #1

Le MVP du week-end qui a exposé toutes les données utilisateurs

Outil SaaS de productivité - Next.js + Supabase · Livré en 48 heures
2Critique
3Moyen
8 minDurée du scan

La situation

Un fondateur solo a construit un SaaS de gestion de tâches lors d'un hackathon de week-end et l'a lancé sur Product Hunt en quelques jours. L'application utilisait Next.js avec Supabase pour l'authentification et la base de données. Tout semblait soigné - interface propre, connexion fonctionnelle, intégration Stripe. En moins d'une semaine, plus de 200 utilisateurs s'étaient inscrits.

Ce que Penetrify a trouvé

  • CRITIQUEPolitiques RLS (Row Level Security) de Supabase non activées sur la table des profils - tout utilisateur authentifié pouvait interroger tous les enregistrements utilisateurs via l'API REST
  • CRITIQUEVérification d'e-mail non imposée - des comptes pouvaient être créés avec des e-mails arbitraires et accéder immédiatement aux endpoints protégés
  • MOYENLa route API /api/export acceptait l'identifiant utilisateur comme paramètre de requête sans vérification de propriété (IDOR)
  • MOYENAucune limitation de débit sur l'endpoint de connexion - attaques par force brute possibles à ~500 req/s
  • MOYENTokens JWT stockés dans le localStorage sans expiration ni rotation

Le résultat

Le fondateur a corrigé les politiques RLS et la vérification d'e-mail en 2 heures via le tableau de bord Supabase - sans réécriture de code. Le IDOR, c'était un fix d'une ligne dans le middleware. Temps total de remédiation : une demi-journée. Sans le scan, ces problèmes auraient pu rester exposés pendant des mois. La faille RLS Supabase à elle seule aurait constitué une violation de données déclarable sous le RGPD.
Étude de cas #2

La marketplace no-code avec des clés API admin-level dans le frontend

Marketplace two-sided - Bubble.io + Stripe Connect · 1 500 utilisateurs
1Critique
4Moyen
12 minDurée du scan

La situation

Une équipe de deux personnes a construit une marketplace freelance avec Bubble.io, gérant les paiements via Stripe Connect. La plateforme avait traité plus de 40 000 $ de transactions et grandissait par bouche-à-oreille. Aucun des fondateurs n'avait de background en sécurité - ils pensaient que Bubble gérait la sécu pour eux.

Ce que Penetrify a trouvé

  • CRITIQUESecret API key Stripe exposée dans le bundle JS côté client - accès complet en lecture/écriture aux données de paiement, remboursements et fiches clients
  • MOYENPrivacy rules Bubble mal configurées - les coordonnées bancaires des vendeurs visibles par tout utilisateur connecté via des appels API
  • MOYENLe flux de réinitialisation de mot de passe acceptait n'importe quel e-mail sans vérification, permettant l'énumération de comptes
  • MOYENAucune Content Security Policy - XSS réfléchi possible via injection dans le paramètre de recherche
  • FAIBLEPolitique CORS en wildcard (*) - n'importe quelle origine peut envoyer des requêtes authentifiées

Le résultat

La clé Stripe exposée était le problème le plus urgent - avec elle, un attaquant aurait pu émettre des remboursements, accéder aux données personnelles ou rediriger des virements. Les fondateurs ont immédiatement régénéré la clé. La clé Stripe était exposée depuis 4 mois sans que personne ne le remarque. Le prix de cette non-détection : potentiellement toute la boîte.
Étude de cas #3

La startup AI wrapper qui avait oublié sa propre API

Outil d'écriture IA - Python/FastAPI + React · Candidature YC
1Critique
2Moyen
7 minDurée du scan

La situation

Un fondateur technique a construit un assistant d'écriture IA en utilisant FastAPI en backend et React en frontend. Le produit proxifiait les appels vers l'API OpenAI avec des custom prompts et l'historique utilisateur. L'app gagnait en traction sur Twitter/X et le fondateur préparait une candidature YC. Environ 800 utilisateurs sur un modèle freemium.

Ce que Penetrify a trouvé

  • CRITIQUEClé API OpenAI transmise au frontend dans les en-têtes de réponse - n'importe quel utilisateur pouvait l'extraire et consommer directement les crédits API du fondateur (~2 000 $/mois)
  • MOYENL'endpoint d'historique des prompts /api/history/:userId n'avait aucun middleware d'authentification - les logs de conversation de tous les utilisateurs accessibles en changeant l'ID
  • MOYENMode debug toujours activé en production (FastAPI(debug=True)) - traces complètes avec chemins internes et versions des dépendances exposées lors des erreurs
  • FAIBLEAucune redirection HTTPS - la version HTTP de l'app servie sans redirection - session hijacking possible sur les réseaux publics

Le résultat

Le fondateur perdait de l'argent sans le savoir à cause de l'abus de clé API - des pics inexpliqués dans la facturation OpenAI - c'était en fait une utilisation externe via la clé leakée. Le IDOR sur l'historique des prompts était particulièrement critique. Tous les correctifs ont été déployés en 3 heures - la plupart étaient des one-liners. Le fondateur lance désormais un scan Penetrify avant chaque release majeure.

Qui est derrière cela

Construit par un CTO,
pas une équipe marketing.

Viktor Bulanek

Viktor Bulanek

Fondateur & CTO

Plus de 20 ans à construire et sécuriser des systèmes de production à grande échelle - des plateformes fintech traitant des millions de transactions aux infrastructures IoT gérant des réseaux énergétiques en temps réel. J'ai créé Penetrify parce que les startups méritent le même niveau de pentest que les grands groupes paient 50 000 €+.

Master en Sécurité IT - Université MasarykEx-CTO dans 4 startupsFintech · IoT · SaaS

Tarifs

Des tarifs simples et transparents.

Aucuns frais cachés. Aucun appel commercial. Choisis le plan adapté à tes besoins en sécurité.

Starter
$50 / mois

Parfait pour les side projects et les premiers MVP.

  • 1 pentest par mois
  • Modes automatique et semi-automatique
  • Scan standard des vulnérabilités
  • Rapports PDF
  • Support par e-mail
  • Historique des résultats de 30 jours
Commencer
Professional
$600 / mois

Pour les produits en croissance avec de vrais utilisateurs.

  • 20 pentests par mois
  • Toutes les fonctionnalités Starter
  • Détection avancée des vulnérabilités
  • Custom branding des rapports
  • Accès API
  • Support prioritaire (réponse en 24h)
  • Historique des résultats de 90 jours
  • Collaboration d'équipe (jusqu'à 5 utilisateurs)
Démarrer l'essai Pro →
Enterprise
$2 500 / mois

Pour les startups sur la route de la compliance.

  • 100 pentests par mois
  • Toutes les fonctionnalités Professional
  • Consultant en sécurité dédié
  • Intégrations custom
  • Garantie SLA (disponibilité de 99,9 %)
  • Support téléphonique
  • Historique des résultats illimité
  • Membres d'équipe illimités
  • Rapports white-label
  • Reporting compliance (SOC 2, ISO 27001)
Nous contacter →

FAQ

Tu as des questions ?

Réponses rapides aux questions les plus fréquentes sur Penetrify.

Tes utilisateurs te font confiance.
Assure-toi de le mériter.

Démarre ton premier scan en quelques minutes. Rien à installer, aucune modif de code.

Démarrer ton premier scan →