~/franksmar$ whoami

Franksmar Rigonato
Full Stack, Pentester & Engineer.

focus: web + segurança ofensiva · base: Pimenta Bueno, RO

~/profile.json

// portfolio v4 / 2026 const profile = { name: "Franksmar Rigonato", location: "Pimenta Bueno, RO", stack: ["py", "java", "js", "ts", "ruby", "c#"], focus: "web + security", experience: 3, available: true, };

currently working on pentest_report.pdf

03+ years

// experiência

100% PoC

// relatórios

3 disciplinas

// dev, pentest, consult.

24h resposta

// dias úteis

#about _section.01

Engineer e pentester, entre construção e segurança ofensiva.

// quem constrói entende a decisão que abriu a brecha, e enxerga a remediação que cabe no roadmap.

Há três anos atuo como gerenciador de sistemas e arquiteto de soluções, construindo aplicações web e desenhando integrações entre frontend, backend e serviços de cloud. Trabalho com React, Next.js, Node, Python e Java em produção, e tenho a segurança como segunda disciplina central.

Hoje divido o tempo entre desenvolvimento full stack, pentest em aplicações web e consultoria técnica para times que estão escalando rápido, precisam de segunda leitura técnica antes de abrir o produto ao público, ou querem desenvolver sites e sistemas sob medida com segurança desde o primeiro commit.

Baseado em Pimenta Bueno, Rondônia. Atendo Brasil inteiro de forma remota, projetos pontuais ou contratos contínuos.

// formação

Engenharia de SoftwareUnoeste, em curso
AdministraçãoLink School, 2 anos

// idiomas

Portuguêsnativo
Inglêsintermediário+
Espanholbásico

// disponibilidade

Pentestaceito novos
Dev full stackaceito novos
Consultoriaaceito novos

#skills _section.02

Stack em produção e em uso real.

// linguagens, frameworks e ferramentas que uso, não em currículo, em projeto.

[ 01 ]linguagens

Python Java JavaScript TypeScript Ruby C# HTML5 HTML CSS3 CSS SQL Bash

[ 02 ]frontend

React Next.js Vite Tailwind CSS TanStack Query Framer Motion Zustand React Hook Form

[ 03 ]backend

Node.js Express Python · FastAPI Java · Spring REST GraphQL WebSockets Prisma

[ 04 ]databases & cloud

SQL PostgreSQL MySQL SQLite Redis RLS Row-Level Security Policies Supabase Firebase AWS Vercel Docker GitHub Actions

[ 05 ]cybersecurity

OWASP Top 10 XSS SQL Injection IDOR SSRF · RCE Broken Auth CVSS 3.1 MITRE ATT&CK STRIDE · PASTA

[ 06 ]tools

Burp Suite Metasploit sqlmap Nmap Wireshark BloodHound Shodan Postman Git Linux

#services _section.03

O que entrego, do reconhecimento ao deploy.

// cada serviço com escopo escrito, cronograma e entrega documentada.

[ 01 ]

Pentest externo não-intrusivo

Análise de superfície sem credenciais, zero impacto em operação.

→

[ 02 ]

Auditoria backend Supabase / Firebase

RLS, RPC, Edge Functions, signup e Storage revisados linha a linha.

→

[ 03 ]

Segredos no frontend

Chaves de API, tokens e senhas expostas no bundle JS público.

→

[ 04 ]

Pentest autenticado

IDOR, escalonamento de privilégios e manipulação de requisições.

→

[ 05 ]

Dev sob medida

Landing pages, sistemas internos e integrações em React/Next/Node/Supabase.

→

[ 06 ]

Consultoria & arquitetura

Revisão de stack, code review e segunda opinião antes de decisões críticas.

→

[ 07 ]

Relatórios com plano de remediação

PDF com PoC, severidade CVSS 3.1 e checklist de correção.

→

[ 08 ]

Hardening & LGPD

CSP, X-Frame-Options, HSTS preload e cabeçalhos de segurança.

→

#process _section.04

Como conduzo um pentest.

// quatro passos do reconhecimento ao relatório, zero impacto na operação.

01 / RECON

Reconhecimento

Coleta passiva, análise estática do bundle e mapeamento da superfície.

02 / ANALYSIS

Análise

Probe de endpoints, RLS, policies, autenticação e cloud config.

03 / POC

Prova de conceito

Reprodução controlada com payload mínimo. Evidência capturada sem impacto.

04 / REPORT

Relatório

PDF com narrativa do ataque, plano de remediação e checklist.

#cases _section.05

Pentests recentes em ambientes reais.

// dois projetos com escopo definido, disclosure responsável, identidades preservadas.

case_01.md / saas b2b

Sistema de gestão empresarial — auditoria de superfície + backend

Cadastro público aberto em sistema rotulado como "acesso restrito".
6 cabeçalhos HTTP de segurança ausentes na entrega.
Mapeamento estático de 21 tabelas, 2 RPCs e 2 Edge Functions via bundle.
Validação de RLS e policies com cenários de bypass documentados.

Entrega: PDF de 21 páginas, plano de remediação priorizado, CVSS 3.1, checklist por achado.

case_02.md / disclosure responsável

Agendamento online — credenciais expostas no bundle

Senhas admin em texto puro no JS público.
Botão "Admin" abrindo window.prompt() nativo p/ auth client-side.
Comunicado direto ao responsável; remoção confirmada em seguida.

Entrega: notificação técnica explicando impossibilidade de auth client-side segura, acompanhamento até validação final.

#feedback _section.06

Resposta direta dos responsáveis.

// reações reais após disclosure, identidades protegidas.

Feedback recebido pelo responsável do sistema — disclosure_01 / feedback inicial

Confirmação do encaminhamento técnico — disclosure_02 / acompanhamento

Entrega do relatório de 21 páginas — disclosure_03 / entrega

Muito obrigada pelo seu feedback. Estou enviando agora para o nosso técnico que cuida desses sistemas.

// resp. saas b2b

Agradecido pelo seu trabalho impecável.

// resp. agendamento

// _section.07 / contato

Quer um diagnóstico do seu sistema?

// resposta em até 24h em dias úteis. trabalhos sempre iniciados com escopo escrito e autorização formal.

// canal Email // canal WhatsApp // canal LinkedIn

// base Pimenta Bueno, RO