Pentest per App di Vibecoding
Audit di sicurezza su prodotti consegnati con v0, Lovable, Bolt, Cursor, Claude Code, Replit e Supabase — prima che gli hacker facciano vibehacking.
Perché ora
Il dolore reale
Hai fatto vibecoding. Gli hacker fanno vibehacking. service_role esposto nel client, RLS disattivato in Supabase, IDOR in route generate da IA, secrets in variabili pubbliche, auth debole. Il codice compila. L'app si apre. Ed è aperta a chiunque.
Regolamentazione applicabile
/superficie-di-attacco
Vettori che testiamo in vibecoding e apps gerados por ia
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Supabase / Firebase / Convex
RLS disattivato, policy lasche, service_role nel client, abuso anonimo e bypass RLS via view.
Secrets in release
NEXT_PUBLIC con chiave privata, JWT secret hardcoded, .env committato, token nel bundle.
Edge function e webhook
Validazione di firma assente, replay di webhook, prompt injection in handler LLM.
Auth e sessione
Provider mal configurato, magic link riutilizzabile, nessun rate limit su login, JWT mal validato.
IDOR e autorizzazione
Route generate da IA senza controllo di ownership, endpoint REST indovinabili, parametri fidati.
Storage e upload
Bucket pubblici per default, nessuna validazione MIME, path traversal, URL firmate eterne.
Integrazione LLM
Prompt injection, prompt leak, costo aperto, system prompt accessibile, drain di chiave OpenAI.
Costo e abuso
Nessun rate limit su endpoint a pagamento, DoS via LLM, abuso di quota gratuita.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Focus su startup early/mid stage e agenzie no-code/low-code che spediscono prodotto in giorni con stack moderno.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Vibecoding e Apps Gerados por IA
Il report include il prompt di correzione?
Sì. Ogni finding arriva con PoC riproducibile + prompt pronto da incollare in Cursor/Claude Code che applica la correzione nei pattern del tuo stack.
Quanto dura?
1-3 settimane a seconda della superficie. Un'app v0 + Supabase + Stripe gira in 7-10 giorni lavorativi con un pentester senior.
/contatti
Pronto per un pentest serio in vibecoding e apps gerados por ia?
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.