L'hai lanciato velocemente.
Ora assicurati che sia sicuro.

Flussi di autenticazione rotti

Le app sviluppate di getto vanno veloci - e spesso saltano la verifica email, la gestione delle sessioni o i flussi di reset della password. Troviamo quello che il tuo framework non ha coperto.

Dati utente esposti

Vulnerabilità IDOR, API che fanno trapelare dati, regole del database mal configurate. Un permesso sbagliato e i dati dei tuoi utenti sono accessibili a chiunque. Li troviamo prima che lo faccia qualcun altro.

Punti ciechi del no-code

Bubble, Supabase, Firebase - ottimi strumenti, ma le loro impostazioni di default non sono sempre sicure. Penetrify controlla la superficie di attacco reale, non solo il pannello di configurazione.

The Annual Pen Test Is No Longer Enough

Modern software teams ship code weekly or daily. A single annual security assessment leaves up to 364 days of unscanned exposure between reviews. Every sprint introduces new API endpoints, new authentication flows, new dependencies. By the time a manual tester examines your application, the code they're testing may look nothing like what's running in production.

Every code push is a potential introduction of new vulnerabilities. The traditional model — test once, then wait — was designed for software that shipped quarterly. It is ill-suited to products that deploy dozens of times a week.

The cost of point-in-time testing:

• →New features deployed after the assessment remain unscanned until the next engagement
• →Regression vulnerabilities reintroduced by code changes go undetected for months
• →A single manual engagement costs $10,000–$50,000 and covers one point in time
• →Procurement, scoping, and scheduling add weeks before testing even begins

What Changes When Security Tests Run on Every Deploy

When security tests run on every CI/CD build, the security posture in your dashboard reflects the code running today — not the code from last quarter. Vulnerabilities are caught when they're cheapest to fix: in a pull request, before the feature ever reaches production.

Finding a vulnerability in a pull request takes an hour to fix. Finding the same vulnerability three months after deployment — after it's been in production, after customers have interacted with it — takes days and creates compliance exposure. The economics are not comparable.

What continuous testing delivers:

• →Security vulnerabilities caught in the same sprint they're introduced
• →A clear, auditable record of security posture at every deployment
• →CI/CD gates that block deployments containing critical or high-severity findings
• →Security teams freed from manual triage to focus on architecture and threat modeling

Breadth No Human Team Can Match

A human penetration tester works within a time box. Given five days to assess a 200-endpoint API, they make judgment calls about where to invest effort — and some endpoints get skipped. Penetrify tests every discovered endpoint, every parameter, and every authentication flow against the full catalog of known vulnerability classes, every time. No endpoint is de-prioritized because time ran short.

Every scan covers:

• →All OWASP Top 10 vulnerability categories — every endpoint, every time
• →Authentication, session management, and privilege escalation testing
• →IDOR and broken access control across all user roles and data objects
• →REST API and GraphQL-specific vulnerabilities including mass assignment and introspection abuse
• →SQL injection, XSS, CSRF, XXE, and injection variants across all input surfaces
• →Secret and API key exposure in responses, headers, and error messages

L'agente testa tutti i flussi di autenticazione critici – non solo se esiste un modulo di login, ma se può essere aggirato. Tenta bypass di verifica email, attacchi di replay di token, flussi di reset password non funzionanti, session fixation e rate limiting mancante sugli endpoint delle credenziali.

Common findings

• ▸Verifica dell'email non applicata sugli endpoint protetti
• ▸Token di sessione non ruotati in caso di escalation dei privilegi
• ▸Nessun blocco dell'account dopo ripetuti tentativi di accesso falliti — possibile attacco brute-force
• ▸Attacchi di confusione dell'algoritmo JWT (downgrade RS256 → HS256)
• ▸Token di reimpostazione password senza scadenza o applicazione dell'uso singolo

I riferimenti diretti a oggetti non sicuri (IDOR) sono la classe di vulnerabilità più frequentemente sfruttata nelle moderne applicazioni web. Penetrify sostituisce sistematicamente gli identificatori controllati dall'utente in tutti gli endpoint e verifica se la proprietà è applicata in modo coerente su ogni route.

Common findings

• ▸/api/users/:id accessibile da qualsiasi utente autenticato, non solo dal proprietario del record
• ▸Endpoint di esportazione o download che accettano ID utente senza controlli di proprietà
• ▸Percorsi solo per amministratori raggiungibili da account utente normali
• ▸Elevazione orizzontale dei privilegi tramite ID risorsa indovinabili o sequenziali
• ▸Mancano o sono configurate in modo errato le policy di sicurezza a livello di riga del database (RLS)

Il motore esegue test per SQL injection, NoSQL injection, command injection, XPath injection e server-side template injection su tutti i vettori di input — campi modulo, parametri di query, header HTTP, corpi JSON e upload di file.

Common findings

• ▸SQL injection nei parametri di ricerca, filtro e paginazione
• ▸XSS riflesso tramite input utente renderizzato senza codifica HTML
• ▸XSS memorizzato nei campi di contenuto forniti dall'utente (nomi, biografie, commenti)
• ▸Server-Side Template Injection (SSTI) nei motori di templating (Jinja2, Twig, Handlebars)
• ▸XML External Entity (XXE) injection tramite caricamento di file o endpoint XML API

Le applicazioni moderne sono API-first. Penetrify mappa automaticamente le API REST e GraphQL, eseguendo test per l'autorizzazione a livello di oggetto non funzionante, l'autenticazione mancante su route interne, la divulgazione di errori dettagliata, policy CORS non sicure e l'introspezione GraphQL lasciata aperta in produzione.

Common findings

• ▸Percorsi API non autenticati che restituiscono dati sensibili degli utenti
• ▸CORS Wildcard (Access-Control-Allow-Origin: *) che abilita letture cross-origin autenticate
• ▸Risposte API che includono campi nascosti o ombra non mostrati nella UI
• ▸Introspezione GraphQL abilitata in produzione, esponendo lo schema completo a richieste anonime
• ▸Vulnerabilità di assegnazione massiva che accettano campi non documentati nei corpi delle richieste API

Oltre alla logica dell'applicazione, Penetrify verifica gli header di sicurezza HTTP, la modalità debug, la divulgazione della versione delle dipendenze e se chiavi API o credenziali sono esposte nei bundle JavaScript, nelle variabili d'ambiente o nelle risposte di errore delle API.

Common findings

• ▸Mancano gli header di sicurezza: Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy
• ▸Endpoint di debug o stack trace prolissi che espongono percorsi di file interni e versioni del framework
• ▸Chiavi API e segreti incorporati nei bundle JavaScript lato client serviti al browser
• ▸Dati sensibili restituiti nelle risposte di errore delle API (stack trace, stringhe di connessione DB)
• ▸Vulnerabilità di open redirect sugli endpoint di login o callback utilizzabili per il phishing

La situazione

Un fondatore solitario ha costruito un SaaS per la gestione delle attività durante un hackathon nel weekend e lo ha lanciato su Product Hunt in pochi giorni. L'app usava Next.js con Supabase per l'autenticazione e il database. Tutto sembrava curato - interfaccia pulita, login funzionante, integrazione Stripe. Nella prima settimana si sono iscritti oltre 200 utenti.

Cosa ha trovato Penetrify

• CRITICOLe policy Supabase Row Level Security (RLS) non erano abilitate sulla tabella dei profili - qualsiasi utente autenticato poteva interrogare tutti i record utente tramite l'API REST
• CRITICOLa verifica email non era applicata - gli account potevano essere creati con email arbitrarie e accedere immediatamente agli endpoint protetti
• MEDIOLa route API /api/export accettava l'ID utente come parametro di query senza controllo di proprietà (IDOR)
• MEDIONessun rate limiting sull'endpoint di login - attacchi brute-force possibili a ~500 req/s
• MEDIOToken JWT in localStorage senza scadenza né rotazione

La situazione

Un team di due persone ha costruito un marketplace per freelance usando Bubble.io, gestendo i pagamenti via Stripe Connect. La piattaforma aveva elaborato oltre $40.000 in transazioni e stava crescendo grazie al passaparola. Nessuno dei fondatori aveva esperienza in sicurezza - assumevano che la piattaforma Bubble gestisse la sicurezza per loro.

Cosa ha trovato Penetrify

• CRITICOChiave API segreta di Stripe esposta nel bundle JavaScript lato client - accesso completo in lettura/scrittura ai dati di pagamento, rimborsi e record clienti
• MEDIORegole di privacy Bubble mal configurate - i dati bancari dei venditori visibili a qualsiasi utente loggato via chiamate API
• MEDIOIl flusso di reset della password accettava qualsiasi email senza verifica, consentendo l'enumerazione degli account
• MEDIONessuna Content Security Policy - XSS reflesso possibile attraverso l'iniezione di parametri di ricerca
• BASSOPolicy CORS impostata su wildcard (*) che consente a qualsiasi origine di effettuare richieste autenticate

La situazione

Un fondatore tecnico ha costruito un assistente di scrittura AI usando FastAPI sul backend e React sul frontend. Il prodotto proxava le chiamate all'API di OpenAI con custom prompt e cronologia utente. L'app stava guadagnando trazione su Twitter/X e il fondatore stava preparando una candidatura YC. Circa 800 utenti con un modello freemium.

Cosa ha trovato Penetrify

• CRITICOChiave API di OpenAI passata al frontend negli header della risposta - qualsiasi utente poteva estrarla e utilizzare direttamente i crediti API del fondatore (consumo stimato $2.000+/mese)
• MEDIOL'endpoint della cronologia dei prompt utente /api/history/:userId non aveva middleware di autenticazione - i log di conversazione di tutti gli utenti erano accessibili cambiando l'ID
• MEDIOModalità debug ancora abilitata in produzione (FastAPI(debug=True)) - stack trace completi con percorsi interni e versioni delle dipendenze esposti sugli errori
• BASSONessun reindirizzamento HTTPS - la versione HTTP dell'app servita senza reindirizzamento, consentendo il session hijacking su reti pubbliche

Perfetto per side project e primi MVP.

• ✓1 pentest al mese
• ✓Modalità automatica e semi-automatica
• ✓Scansione standard delle vulnerabilità
• ✓Report in PDF
• ✓Supporto via email
• ✓Cronologia risultati di 30 giorni

Per prodotti in crescita con utenti reali.

• ✓20 pentests al mese
• ✓Tutte le funzionalità Starter
• ✓Rilevamento avanzato delle vulnerabilità
• ✓Branding personalizzato dei report
• ✓Accesso API
• ✓Supporto prioritario (risposta in 24h)
• ✓Cronologia risultati di 90 giorni
• ✓Collaborazione in team (fino a 5 utenti)

Per startup in fase di compliance.

• ✓100 pentests al mese
• ✓Tutte le funzionalità Professional
• ✓Consulente per la sicurezza dedicato
• ✓Integrazioni custom
• ✓Garanzia SLA (uptime 99,9%)
• ✓Supporto telefonico
• ✓Cronologia risultati illimitata
• ✓Membri del team illimitati
• ✓Report white-label
• ✓Compliance reporting (SOC 2, ISO 27001)

Quanto costa un penetration test AI?

Penetrify parte da $50/mese per il piano Starter (1 scansione/mese), $600/mese per Professional (20 scansioni/mese) e $2,500/mese per Enterprise (100 scansioni/mese). Questo è 95–99% più economico rispetto ai tradizionali penetration test manuali, che in genere costano $15,000–$50,000 per engagement.

Quanto tempo richiede un penetration test?

Penetrify completa una scansione rapida in 15–30 minuti, una scansione standard in 1–2 ore e una scansione approfondita in diverse ore per applicazioni complesse. I penetration test tradizionali richiedono 1–4 settimane per essere programmati, eseguiti e per ricevere i risultati.

Quali vulnerabilità rileva Penetrify?

Penetrify rileva tutte le categorie di vulnerabilità OWASP Top 10: SQL injection, Cross-Site Scripting (XSS), CSRF, Insecure Direct Object References (IDOR), autenticazione compromessa, errori di configurazione della sicurezza, esposizione di dati sensibili e altro ancora. Inoltre, verifica la sicurezza delle API, la gestione delle sessioni, i difetti della logica aziendale e le configurazioni errate comuni in Supabase, Firebase e Bubble.

Penetrify è sicuro da eseguire su un'applicazione di produzione live?

Sì. Penetrify è non distruttivo per definizione: non modifica mai i dati, non scrive mai nel tuo database e non esegue alcuna azione distruttiva. Tutti i test sono di sola lettura e non invasivi. I tuoi utenti non noteranno nulla: nessun downtime, nessuna modifica ai dati, nessun effetto collaterale.

Qual è il tasso di falsi positivi di Penetrify?

Penetrify mantiene un tasso di falsi positivi inferiore al 5%. Il motore AI convalida ogni rilevamento contestualmente prima di segnalarlo, in modo che gli sviluppatori vedano solo problemi reali e sfruttabili, non rumore dello scanner. Gli scanner automatici tradizionali riportano in genere il 40–60% di falsi positivi.

Penetrify richiede installazione o modifiche al codice?

Non è richiesta alcuna installazione. Penetrify è 100% basato su cloud e senza agent. Fornisci l'URL della tua applicazione e l'AI gestisce tutto il resto. Nessuna modifica al codice, nessun plugin, nessun agent da distribuire — funziona con qualsiasi stack web inclusi React, Next.js, Django, Rails e piattaforme no-code come Bubble, Webflow e Supabase.

FAQ

Hai domande?

Risposte rapide alle domande più frequenti su Penetrify.