Preenchendo ativos

Tipos de ativos, formatos aceitos e boas práticas.

Ativos são os alvos do pentest: URLs, IPs, domínios ou aplicativos móveis que serão testados. Este guia mostra os formatos aceitos, como agrupar por categoria e o que evitar.

Categorias de ativos

O HAS divide ativos em 3 categorias. Você pode selecionar uma ou várias combinadas no mesmo teste:

Aplicação

Sites, APIs e aplicativos móveis. Exemplos:

https://app.empresa.com.br — aplicação web
https://api.empresa.com/v1 — API REST
play.google.com/store/apps/details?id=com.empresa — aplicativo Android
apps.apple.com/br/app/meu-app/id123456789 — aplicativo iOS

Infraestrutura

Servidores, cloud e redes. Exemplos:

192.168.1.100 — servidor interno (requer liberação de acesso)
servidor.empresa.com — servidor com hostname público
s3.amazonaws.com/meu-bucket — recurso cloud
firewall.empresa.com:8443 — endpoint com porta específica

Especializado

IA/LLM, IoT e outros. Exemplos:

https://chat.empresa.com — chatbot baseado em LLM
https://api.empresa.com/gpt — endpoint de IA
10.0.0.50:1883 — broker MQTT para IoT

Formatos aceitos

O HAS aceita os formatos abaixo. Use apenas caracteres a-z 0-9 . - / : _:

URL completa: https://app.empresa.com/login
Domínio: empresa.com ou app.empresa.com
IP: 203.0.113.45
IP com porta: 203.0.113.45:8080
Subrede / CIDR: 192.168.1.0/24 (valida com o time antes; algumas faixas exigem autorização adicional)

Ativos inválidos aparecem marcados em vermelho. Verifique se não tem espaços, vírgulas ou caracteres especiais. Use uma entrada por ativo — separe por Enter ou vírgula ao colar.

Limite de ativos por teste

O limite depende do plano da empresa:

Pontual: sem limite fixo, cada ativo adicional aumenta o preço.
Mensal ou Anual: a quantidade contratada por mês (ex.: Starter 2/mês, Essential 4/mês, Business 8/mês).

Se precisar testar mais ativos em um único teste, você pode: (a) reduzir o escopo, (b) contratar Pontual extra, ou (c) fazer upgrade do plano contínuo.

Boas práticas

Seja específico. Em vez de empresa.com, prefira app.empresa.com/painel se o foco é a área autenticada.
Um ativo por entrada. Não combine URLs em uma linha separada por vírgula — cada linha é um ativo.
Não coloque ativos no campo "Objetivo". O campo de objetivo é para descrever o que você quer validar, não para listar URLs. O sistema bloqueia se detectar endereços nesse campo.
Agrupe corretamente. Um domínio web e sua API respectiva podem ser testados juntos, mas informe explicitamente ambos os endereços.

Categorias múltiplas

Você pode misturar categorias no mesmo teste. Por exemplo: Aplicação (site público) + Infraestrutura (servidor interno) + Especializado (chatbot). O preço é calculado por ativo com desconto progressivo.