Sobre

Segurança Ofensiva com atuação no setor financeiro

Analista de Segurança Ofensiva com experiência prática em testes de intrusão (Pentest) em ambientes críticos, com destaque para atuação no setor financeiro (Fintech). Foco em identificar vulnerabilidades de alto impacto (OWASP Top 10) que comprometem a conformidade PCI-DSS e a integridade de transações financeiras.

Combino expertise técnica em exploração Web/Infra e automação (Python) com fortes habilidades de Engenharia Social e negociação, desenvolvidas em experiências prévias de gestão de conflitos e atendimento. Atuo com metodologias PTES e OWASP, conduzindo todo o ciclo de vida do Pentest: Reconhecimento, Análise, Exploração e Pós-Exploração.

Possuo experiência comprovada em prevenção de catástrofes corporativas, tendo identificado vetores críticos que poderiam comprometer operações financeiras inteiras. Busco oportunidades para aplicar minha expertise em ambientes desafiadores onde segurança ofensiva seja prioridade estratégica.

1+
Anos em Pentest
4+
Certificações
Semestre TSI

# Reconnaissance Phase
nmap -sC -sV -O target.com
gobuster dir -u http://target.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

# Vulnerability Assessment  
sqlmap -u "http://target.com/login.php" --forms --dbs
nikto -h target.com

# Exploitation
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp

Experiência

Segurança ofensiva no setor financeiro e fintechs

DEZ 2024 – Presente Atual

Pentester | Consultor de Segurança Ofensiva

Fintech & Gateway de Pagamentos

Gateway de Pagamentos: Execução de testes de intrusão em infraestruturas críticas de processamento de transações, incluindo APIs de pagamento, sistemas de antifraude e tokenização de cartões sob padrão PCI-DSS.
Identificação de Riscos Críticos: Descoberta de vulnerabilidades de alto impacto em fluxos de pagamento, incluindo falhas de autorização, bypass de autenticação e exposição de dados sensíveis de clientes.
Fintech & Open Banking: Avaliação de segurança em plataformas BaaS (Banking-as-a-Service), APIs Open Finance e integrações com instituições reguladas pelo Banco Central do Brasil.
Compliance & Governança: Suporte à conformidade PCI-DSS e LGPD, elaboração de relatórios técnicos e executivos, e definição de planos de remediação priorizados por risco.

Metodologia & Escopo Técnico

  • API Security Testing: Análise de endpoints REST/GraphQL, validação de fluxos OAuth 2.0/OpenID Connect e testes de rate limiting e abuse cases
  • Application Security: Identificação de OWASP Top 10, análise de lógica de negócio, IDOR, broken access control e injection flaws
  • Grey/Black Box Testing: Reconhecimento, enumeração de ativos, exploração de vulnerabilidades e demonstração de impacto real ao negócio
  • Relatórios & Remediação: Documentação técnica detalhada com evidências, classificação CVSS e recomendações de correção priorizadas
Gateway de Pagamentos Fintech PCI-DSS OWASP Top 10 API Security Burp Suite Open Banking LGPD

Competências Técnicas

Segurança Web, Red Team, Automação e Frameworks de Compliance

Segurança Ofensiva

Pentest Web Pentest API Pentest Infra Black Box Grey Box OWASP Top 10 SQL Injection XSS CSRF IDOR JWT Attacks BOLA/BFLA

Ferramentas

Burp Suite Pro Metasploit Nmap SQLMap Nikto Nessus OpenVAS Wireshark Nuclei Gobuster

Red Team & OSINT

Engenharia Social Vishing Phishing Pretexting OSINT Reconnaissance MITRE ATT&CK Kill Chain Threat Intelligence Stealer Logs Analysis

Ferramentas

theHarvester Maltego Shodan Google Dorks Recon-ng SpiderFoot Amass OSINT Framework

Dev & Compliance

Python Bash Scripting JavaScript Automação de Exploits Source Maps Analysis DOM Manipulation Rust

Frameworks & Normas

PTES OWASP Testing Guide PCI-DSS ISO 27001/27002 CVSS v3.1/4.0 Kali Linux Git

Projetos

Repositórios e pesquisas em segurança cibernética

Ativo 5

MyStealerLab

Laboratório de análise de malware desenvolvido em Rust. Ambiente controlado para estudo de técnicas de exfiltração e desenvolvimento de contramedidas.

Rust Malware Analysis Educational
Ver no GitHub Código
Ativo

CVE-2024-38077 PoC

Proof of Concept para vulnerabilidade MadLicense no Windows Remote Desktop Licensing Service. Implementação para validação de patches e testes de segurança.

Python CVE RCE
Ver no GitHub Exploit
Pesquisa CVE-2025

MongoBleed Analysis

Análise técnica do CVE-2025-14847: Memory leak pré-autenticação no MongoDB via compressão zlib maliciosa. Estudo de caso com impacto em ~50.000 contas.

MongoDB Memory Leak Exploit Analysis
Ver Artigo CVE
Pesquisa

IA & Threat Research

Pesquisa sobre o impacto de LLMs no desenvolvimento de ameaças cibernéticas. Análise de vetores emergentes e implicações para defesa corporativa.

IA/LLM Malware Rust Research
Ver Artigo Código
Ativo 3

Desec-Scripts

Coleção de scripts desenvolvidos durante estudos na Desec Security. Automação de tarefas de pentest, reconnaissance e análise de vulnerabilidades.

Shell Automation Pentest
Ver no GitHub Scripts
Concluído

Projetos Acadêmicos

Coleção de trabalhos desenvolvidos durante formação acadêmica, incluindo sistemas em C, projetos Java e soluções de lógica computacional.

C Java Arduino
Ver no GitHub Todos

Publicações Técnicas

Artigos e análises sobre segurança ofensiva, vulnerabilidades, red team e metodologias de pentest.

Acessar Publicações

Formação & Certificações

Desenvolvimento profissional contínuo em segurança da informação

5° Semestre

Tecnologia em Sistemas de Informação

ITE - Instituição Toledo de Ensino

Graduação em andamento focada em desenvolvimento de sistemas, infraestrutura de TI e segurança da informação. Aplicação prática através de projetos de extensão em ambientes reais de mercado.

Infraestrutura Redes Banco de Dados Segurança
Em Progresso

DCPT - Desec Certified Penetration Tester

Desec Security

Certificação profissionalizante focada em testes de intrusão práticos, cobrindo metodologias avançadas de pentest, análise de vulnerabilidades e elaboração de relatórios executivos.

Web Application Pentest Network Security Privilege Escalation Report Writing
Em Progresso

CRTA - Red Team Analyst

Cyberwarfare

Certificação avançada em Red Teaming, focada em simulação de adversários reais, TTPs (MITRE ATT&CK) e técnicas avançadas de ataque em ambientes corporativos.

Red Team Operations MITRE ATT&CK Adversary Simulation C2 Frameworks
2025

PEv1 - Pentest Experience

Certificação Prática

Certificação hands-on em testes de intrusão, validando competências práticas em cenários reais de exploração e análise de vulnerabilidades.

Hands-on Pentest Real Scenarios Exploitation
Concluído

Novo Pentest Profissional

Desec Security

Certificação prática em segurança ofensiva (200h). Formação completa cobrindo reconhecimento, exploração de vulnerabilidades, engenharia social, escalonamento de privilégios e elaboração de relatórios técnicos.

OSINT & Reconnaissance Vulnerability Assessment Social Engineering Privilege Escalation
Concluído

Redes para Segurança da Informação

Afonso da Silva

Curso especializado em fundamentos de redes aplicados à segurança da informação, abordando protocolos, arquitetura e vetores de ataque em infraestrutura.

Network Protocols Infrastructure Attack Vectors
Concluído

Segurança da Informação

Senac

Curso abrangendo fundamentos de segurança da informação, políticas de segurança e conceitos de proteção de dados e compliance.

Fundamentos Políticas Compliance

Contato

Aberto a oportunidades e projetos em segurança ofensiva

E-mail

ermenson.sec@gmail.com

LinkedIn

linkedin.com/in/ermensonmarcos

GitHub

@Ermensonx

Disponibilidade

Experiência em Pentest no setor financeiro (Fintech) com foco em OWASP Top 10, PCI-DSS e metodologias PTES. Disponível para projetos, consultoria e posições em Red Team.

Conectar no LinkedIn Enviar E-mail