recon além da visão

Do recon ao relatório, sem perder um achado.

Mapeamos a superfície de ataque do alvo, transformamos cada vulnerabilidade em um achado estruturado e deduplicado, e entregamos o relatório. Recon, importadores, attack paths e um portal do cliente ficam sobre uma única fonte da verdade, feita para o jeito que pentesters realmente trabalham.

Acesso antecipado para times de pentest. Sem spam, sem cartão.

Tandera pentest recon workflow icon CVE-2024-3094 :443 · TLS 1.2 *.api.acme.com
minutos
tempo do recon Lite
120+
importadores
0
achados duplicados
PDF·PPTX
relatórios prontos
trabalhe pelo terminal

Rode todo o pentest pelo terminal.

O tandera-cli exporta o escopo, escaneia e importa os achados de volta. Sem navegador. Recon, import e relatório num único comando.

tandera-cli — zsh — 96×14
$ tandera scope export --target acme.com \
| httpx -silent \
| nuclei -severity critical,high \
| tandera import --auto-dedupe
✓ 1,284 hosts probed  ·  37 findings imported  ·  12 duplicates merged
$

exporta escopo, sonda com httpx, escaneia com nuclei, importa de volta. Uma linha.

a plataforma

Uma fonte da verdade, do recon ao relatório.

Três capacidades em torno de um único banco de achados canônico. Tudo flui para ele. Tudo sai dele em relatório.

01 · RECON AUTOMATIZADA

Mapeie toda a superfície de ataque.

Enumeramos subdomínios, DNS, portas, tecnologias web, TLS, ativos em nuvem e credenciais vazadas. Quando a recon encontra uma vulnerabilidade conhecida, ela abre um achado automaticamente.

Lite
Passiva primeiro. Roda em minutos.
Full
Profunda e ativa. Roda em horas.
#subdomains
#DNS records
#open ports
#web tech
#TLS config
#cloud assets
#leaked creds
auto-findings
02 · ACHADOS CENTRALIZADOS

Uma fonte da verdade para cada vulnerabilidade.

Cada vulnerabilidade vira um achado estruturado, deduplicado e correlacionado. Severidade, CVSS, EPSS, KEV, CWE, CVE, OWASP, MITRE, compliance, evidências e proveniência vêm junto.

Severidade
Achado
CVSS
Origem
CRIT
SQL injection · /api/login
9.8
nuclei
HIGH
Exposed .git directory
8.2
recon
MED
Missing security headers ×3 merged
5.3
burp
LOW
Verbose error message
3.1
zap
EPSSKEVCWEOWASPMITRE ATT&CKcompliance
03 · IMPORTADORES

Traga suas próprias ferramentas.

Importamos Burp Suite, Nuclei, OWASP ZAP, Caido e CSV genérico. Tudo normaliza na mesma tabela.

Burp Suite✓ .xml
Nuclei✓ .json
OWASP ZAP✓ .json
Caido✓ export
Generic CSV✓ .csv
Dedupe automático: a mesma vuln achada por três ferramentas aparece uma vez.
attack flow

Conectamos achados no caminho que o atacante percorre.

Uma lista de vulnerabilidades não é um modelo de ameaças. A Tandera correlaciona achados em attack paths, para você mostrar como uma credencial vazada vira domain admin. Os dashboards continuam parecendo saudáveis. A exposição não.

LOW
Credencial vazada
no histórico do git
MED
Acesso a storage
bucket S3, configs internas
HIGH
Token de API interno
recuperado de config
CRIT
Domain admin
compromisso total do tenant
! Quatro achados, individualmente classificados de baixo a médio. Encadeados, compromisso total do tenant.
relatórios White-label

Personalize cada relatório o quanto você quiser.

Seções, marca, tom, layout e scoring são todos seus para moldar. Geramos PDF e PPTX prontos para o cliente direto dos achados canônicos, e você ajusta cada detalhe. A IA redige a remediação e ordena pelo risco real.

PDF e PPTX, com sua marca e templates.
A IA redige a remediação e ordena por explorabilidade e exposição.
Os attack paths entram no relatório como cadeias de exploração.
White-label completo. Seu logo, suas cores, sua capa, seu domínio. O relatório sai como trabalho da sua empresa, não nosso.
Tandera pentest reporting platform logoTANDERA
CONFIDENCIAL
Relatório de Pentest
acme.com · Q2 2026 · 37 findings
4
CRITICAL
11
HIGH
15
MEDIUM
7
LOW
✦ AIenriquecido e priorizado
portal do cliente White-label

Entregue ao cliente um portal vivo, não um PDF que envelhece.

Quando o relatório sai, o trabalho não acabou. Damos a cada cliente um portal seguro para acompanhar cada achado de aberto a verificado, pedir reteste e comentar no contexto. Você conduz o ciclo de remediação de ponta a ponta, num só lugar.

Compartilhe um link seguro. Cada cliente vê apenas o seu engagement.
Cada achado carrega status, responsável, evidência e uma thread de remediação.
O cliente pede reteste. Você verifica e fecha o ciclo.
O portal também é white-label. O cliente entra com a sua marca, no seu domínio. Ele nunca vê a Tandera.
AC acme.com · portal do cliente
secure
18 de 37 achados verificados 49%
✓ Aberto
✓ Triado
Em andamento
Corrigido
Verificado
SQL injection · /api/login
✓ Verificado
Diretório .git exposto
Reteste solicitadoEm andamento
Headers de segurança ausentes
Aberto
por que tandera

Mais que uma ferramenta de relatório.

SysReptor e Dradis ajudam a escrever os achados. Nós também os encontramos, encadeamos em attack paths e acompanhamos a remediação com o cliente. Recon e automação vêm embutidas.

TANDERA
SysReptor
Dradis
Recon automatizada
Achados deduplicados
~
~
Síntese de attack-path
120+ importadores
~
Priorização por IA
~
Portal do cliente
~
~
Relatórios e portal white-label
~
PDF / PPTX sob medida
acesso antecipado

Garanta a Tandera antes do próximo engagement.

Entre na waitlist para acesso antecipado. Estamos integrando times de pentest em ondas.

Onboarding prioritário para times de pentest.
Linha direta com quem está construindo.
Preço de acesso antecipado, garantido.

Sem spam, sem cartão. Cancele quando quiser.

enespt-br