O que aparece antes de qualquer teste invasivo
Muita exposição não exige invasão. Ela aparece em DNS, rotas esquecidas, páginas antigas, arquivos publicados, metadados e mensagens de erro. Para SaaS pequeno, isso costuma ser mais útil do que procurar problema raro.
O que revisamos sem expor cliente
- Domínio e DNS: registros, redirects e subdomínios que ainda apontam para ambientes antigos.
- Arquivos públicos: documentos, mapas, backups e rotas esquecidas.
- Mensagens de erro: stack trace, nome de serviço, caminho interno ou detalhe de integração.
- Headers HTTP: exposição desnecessária de tecnologia ou cache errado.
- Metadados: documentos com nomes internos, diretórios ou versões.
Como reduzir a pegada digital
- Privacidade de domínio quando fizer sentido para a operação.
- Revisão recorrente de subdomínios e redirects antigos.
- Remoção de metadados antes de publicar documentos.
- Headers sem versão desnecessária de framework ou servidor.
- Monitoramento pago quando o SaaS já tem cliente, dado e receita.
A RET começa pelos pontos visíveis porque é ali que muitos SaaS criados rápido deixam pista. O objetivo é reduzir exposição antes de abrir um escopo maior.
