> pentest_api/preco.md
QUANTO CUSTA
PENTEST DE API?
TABELA 2026 BR.
Pentest de API REST ou GraphQL no Brasil em 2026 custa de R$ 6 mil a R$ 100 mil, dependendo do número de endpoints, complexidade de autorização, stack (REST/GraphQL/gRPC), regulação aplicável e se já tem documentação OpenAPI/Swagger. Tabela honesta abaixo + fatores que mexem.
> tabela_precos
┌──────────────────────────────────────────────────────────────────┐
│ TIPO │ FAIXA BR 2026 │
├──────────────────────────────────────────────────────────────────┤
│ API REST pequena (até 30 endpoints) │ R$ 6.000 - 15.000│
│ API REST média (30-100 endpoints) │ R$ 15.000 - 35.000│
│ API GraphQL com schema rico │ R$ 18.000 - 45.000│
│ API + Gateway + WAF (escopo combinado) │ R$ 25.000 - 55.000│
│ API regulada (PIX, Open Finance, FAPI) │ R$ 40.000 -100.000│
│ Multi-API + microsserviços + service mesh │ R$ 50.000 -120.000│
└──────────────────────────────────────────────────────────────────┘
Valores incluem reconhecimento, OWASP API Top 10 completa, BOLA/BFLA, mass assignment, JWT, rate limit, race conditions, GraphQL specifics quando aplicável, relatório executivo + técnico, e retest dos críticos/altos em até 60 dias.
> owasp_api_top_10
Pentest de API sério bate o OWASP API Security Top 10 (separada da Top 10 web):
- API1 BOLA — Broken Object Level Authorization (IDOR de objeto, o mais comum);
- API2 Broken Authentication — JWT inseguro, sem refresh, sessão eterna;
- API3 Broken Object Property Level Authorization — exposição/escrita indevida de propriedade;
- API4 Unrestricted Resource Consumption — sem rate limit, DoS, custo aberto;
- API5 BFLA — Broken Function Level Authorization (acesso a função admin sem ser admin);
- API6 Unrestricted Access to Sensitive Business Flows — abuso de fluxo de negócio (cupom, cashback);
- API7 SSRF — Server-Side Request Forgery via API;
- API8 Security Misconfiguration — CORS aberto, headers ausentes;
- API9 Improper Inventory Management — endpoints fantasma de versão antiga ainda vivos;
- API10 Unsafe Consumption of APIs — confiar em resposta de terceiro sem validação.
> o_que_mexe_no_preco.txt
- Número de endpoints — mais endpoints = mais combinação de papel × recurso × verbo;
- Complexidade de autorização — RBAC simples vs ABAC vs ReBAC. Auth granular multiplica testes;
- Stack — REST puro é direto; GraphQL, gRPC, WebSocket, Server-Sent Events adicionam superfície;
- Documentação — sem Swagger/OpenAPI gastamos tempo em recon. Com documentação, preço cai 15-25%;
- Compliance — PCI-DSS, BACEN, FAPI 1.0 Advanced, SOC 2 adiciona mapeamento formal;
- Microservices — pentest em service mesh é mais demorado por causa de east-west authentication.
> alerta_scan_disfarcado
"Pentest de API" abaixo de R$ 6 mil é praticamente sempre:
- Postman collection rodada com Nuclei/Nessus — entrega CVE list, zero lógica de negócio;
- Burp scanner ativo em endpoints documentados, sem teste manual de BOLA/BFLA;
- "API security assessment" automatizado tipo Salt/Noname (úteis em DevSecOps, mas não substituem pentest manual de autorização).
> o_que_enxuga_o_preco
- Fornecer Swagger/OpenAPI/Postman collection completos;
- Disponibilizar 2-3 contas com papéis distintos (admin, gestor, usuário comum) — testar BOLA/BFLA sem isso vira chute;
- Definir endpoints críticos prioritários em vez de "tudo";
- Ambiente de homologação populado com dados sintéticos.
> FAQ
Pentest de API é o mesmo que pentest web?
Não. Pentest web cobre UI + lógica frontend + backend. API foca em endpoints REST/GraphQL: BOLA, BFLA, mass assignment, JWT, rate limit. Metodologia OWASP API Top 10.
Preciso fornecer Swagger/Postman?
Fortemente recomendado. Sem documentação, 20-30% do tempo vai em recon. Com Swagger, preço cai 15-25%.
GraphQL precisa de pentest diferente?
Sim. GraphQL tem ataques específicos: introspecção, queries aninhadas (DoS), batching, autorização por field. Operamos com InQL, GraphQL Voyager.
Cobre BFF / API Gateway / WAF?
Sim. BFF, API Gateway (Kong, AWS API Gateway, Apigee) e WAF (Cloudflare, AWS WAF) entram no escopo se forem parte da superfície.