Credenciais para Testes

Salve e reutilize credenciais (usuário+senha, API Key, OAuth, SSH) entre seus testes.

Se a sua empresa faz vários pentests, digitar as mesmas credenciais toda vez no wizard é trabalho repetitivo. O HAS permite salvar credenciais uma vez e reutilizar em testes futuros com 1 clique.

Segurança: todas as credenciais são cifradas no banco com AES-256-GCM. Apenas usuários master da empresa podem criar, editar e visualizar. Cada ação (criar / editar / visualizar / usar / deletar) fica registrada em log de auditoria.

Onde gerenciar

Acesse Configurações da empresa › aba "Credenciais para Testes". A aba só aparece para usuários master.

Nela você vê a lista de credenciais salvas (nome, tipo, papel, URL/host alvo, último uso) e pode adicionar novas ou editar/deletar existentes.

Tipos de credencial suportados

São 4 tipos cobrindo os cenários mais comuns de pentest:

Usuário + Senha — login clássico em aplicações web, admin panels, sistemas legacy. Suporta MFA opcional (TOTP seed, por exemplo).
API Key — APIs REST autenticadas via header (Authorization: Bearer, X-API-Key, etc.). Guarda endpoint + chave + header.
OAuth / Client Credentials — autenticação machine-to-machine via Client ID + Client Secret + Token URL.
Chave SSH — acesso SSH/SFTP a servidores, bastions, Kubernetes. Guarda host + porta + usuário + chave privada + passphrase opcional.

Campos comuns a todos os tipos

Nome — rótulo livre pra identificar a credencial na lista (ex: "Admin Staging", "API Prod v2").
Papel — nível do usuário que essa credencial representa (Admin, Usuário comum, Viewer, Operator, Custom). Ajuda o pentester a entender o contexto do teste.
Observações — contexto extra (ex: "MFA via app", "Só horário comercial", "Não bloquear após 3 tentativas").

Reutilizando credenciais em um teste

Ao criar um novo pentest no wizard (Solicitando um pentest), no passo de credenciais você verá o botão "Carregar credencial salva" (visível apenas para master).

Clique em Carregar credencial salva.
Uma lista das credenciais já cadastradas aparece (filtrada automaticamente pela URL do ativo informada, quando possível).
Escolha a credencial desejada.
O modal de adicionar credencial é aberto automaticamente com todos os campos preenchidos. Você pode confirmar ou ajustar antes de adicionar ao teste.

Auditoria

Cada credencial mantém o histórico:

Criado por — email de quem cadastrou.
Data de criação.
Último uso — quando foi carregada pela última vez em um teste.
Eventos de visualização / edição / deleção ficam gravados no log da empresa.

Boas práticas

Nomeie as credenciais de forma descritiva (ex: "Admin Produção" ≠ "Admin 1").
Se a credencial do cliente for rotacionada, edite o registro em vez de criar um novo.
Quando uma credencial é desativada do lado do cliente, delete o registro no HAS — libera espaço visual e reduz erro em novos testes.
Para API Keys e OAuth, considere criar credenciais dedicadas para o pentest (com escopo reduzido) e removê-las após a conclusão.