18+ anos em segurança ofensiva e defensiva. Red Team Operations, Pentest Web/Mobile/API, Vulnerability Research com 5 CVEs publicados no MITRE. Criador do EASM Shield. 40+ certificações internacionais. DPO certificado LGPD/GDPR.
// serviços
Segurança ofensiva e gestão de superfície de ataque para PMEs e empresas de médio porte.
SaaS · A partir de R$497/mês
Plataforma SaaS de External Attack Surface Management. Mapeia subdomínios, portas expostas, Shadow IT e vulnerabilidades na sua infraestrutura externa — automaticamente, 24h.
Ver demonstração →A partir de R$5.000 / escopo
Operações de Red Team com TTPs reais (MITRE ATT&CK), exploração de Active Directory, movimentação lateral e exfiltração. Pentest web, mobile, API e infraestrutura com relatório executivo e técnico.
Solicitar proposta →Retainer a partir de R$3.000/mês
Chief Information Security Officer fracional. Estratégia, gestão de riscos, políticas, Detection Engineering e relatórios para diretoria — sem contratar um CISO full-time.
Conhecer o serviço →Projeto ou retainer
Adequação à LGPD com diagnóstico, mapeamento de dados, criação de políticas e atuação como DPO (Encarregado de Dados) externo. Certificado LGPD + GDPR.
Falar sobre LGPD →Por demanda · proposta personalizada
Scripts e pipelines sob medida para o seu ambiente: integração de vulnerabilidades Tenable com base de patches (ex: SUSE), análise de compliance de hardware em massa, geração automática de relatórios semanais, acompanhamento de zero-days, análise de imagens e evidências forenses, e muito mais. Descreva o que precisa automatizar — montamos a proposta.
Descrever minha necessidade →// produto
Plataforma SaaS de External Attack Surface Management desenvolvida com as mesmas ferramentas usadas em operações reais de Red Team — subfinder, nuclei, naabu, httpx, nmap.
// vulnerability research
Pesquisador independente de vulnerabilidades. CVEs registrados e publicados no National Vulnerability Database (NVD/MITRE) em 2025.
Stacked query SQL injection via database_mode.php — permite execução arbitrária de comandos no banco de dados sem sanitização.
Ver advisory completo →Cross-Site Scripting refletido via parâmetro dbname — execução de JavaScript arbitrário no contexto da sessão administrativa.
Ver advisory completo →XSS refletido em múltiplos arquivos (room.php, bills.php, new_client.php +8) — parâmetros GET sem sanitização em toda a aplicação.
Ver advisory completo →PHP Object Injection via download.php — parâmetro obj deserializado sem validação permite injeção de objetos arbitrários.
Ver advisory completo →PHP Object Injection via rss-mp3.php — parâmetro rss exposto a deserialização não autenticada com acesso a operações de sistema de arquivos.
Ver advisory completo →// sobre
Tecnólogo em Redes de Computadores com MBA em Gestão da Segurança da Informação e pós-graduações em Ethical Hacking, Forense Computacional e Segurança de Redes. Mais de 18 anos de trajetória em TI.
Segurança ofensiva é o foco central — Red Team Operations com TTPs reais (MITRE ATT&CK), exploração de Active Directory, Red Team Infrastructure (C2, redirectors, OPSEC), Pentest Web, Mobile e API. Pesquisador com 5 CVEs publicados no MITRE.
Do lado defensivo: Detection Engineering, Threat Hunting, criação de regras customizadas para SIEM/EDR e resposta a incidentes — o conhecimento ofensivo aplicado diretamente na construção de barreiras de defesa.
Baseado em Manaus, AM, atendo empresas em todo o Brasil remotamente e na região Norte presencialmente.
⚔️ ofensiva
🛡️ defesa
📋 tech & governança
🔍 tenable
// contato
Auditoria gratuita de superfície de ataque para empresas com 20+ funcionários. Sem compromisso.