Skip to content
§ INDUSTRY / SAAS · MULTI-TENANT

Un solo tenant comprometido
te arruina la auditoría SOC 2.

Pentest dedicado a SaaS multi-tenant: aislamiento entre tenants, RBAC, billing tampering, lógica de negocio (trial extension, plan downgrade preservando features), APIs (REST / GraphQL / gRPC / WebSocket), webhooks. Reportes con mapping explícito a SOC 2 Type II, ISO 27001:2022 y los frameworks que tu pipeline de compliance ya pide.

§ 01 / 04 Amenazas que vemos

Bugs que escalan de un tenant a todos.

No buscamos XSS reflejado en el login. Buscamos el camino que rompe el aislamiento y lee la base de tus clientes enteros.

01

Tenant ID en JWT no validado server-side

El JWT incluye tenant_id pero el backend confía en él sin cruzar contra el rol del usuario. Editar el claim → leer dashboard del competidor. Crítico en B2B SaaS.

02

Mass assignment en endpoints de update

PATCH /api/me acepta role: "admin" o plan: "enterprise" sin allowlist. Free user → admin del workspace o upgrade gratis.

03

GraphQL — batching abuse + N+1

Sin depth/cost limit. Una query con 50 joins anidados tira la base. O peor: introspección habilitada en prod → schema completo expuesto → admin mutations descubiertas.

04

Webhook SSRF — integraciones partner

El feature "send webhook to URL" no valida el target. Cualquier customer config → http://localhost:6379 → Redis exposed → todas las sessions tokens.

05

Billing tampering en checkout flow

El precio viaja en el request del frontend. Manipular el cuerpo del POST y pagar $1 por el plan Enterprise. O peor: aplicar coupon que ya fue consumido.

06

SSO — SAML XML signature wrapping

El parser firma una assertion pero usa otra. XSW classic. Login como cualquier user de cualquier tenant que use tu SSO. Aún común en libs viejas.

§ 02 / 04 Servicios recomendados

El stack que necesita un SaaS B2B.

S/03 · desde $2.990

Professional

Pentest end-to-end del producto. APIs (REST / GraphQL / WebSocket), aislamiento multi-tenant, RBAC, lógica de negocio. Pre-requisito para SOC 2.

★ POPULAR S/04 · desde $2.490

Mobile App

Si tu SaaS tiene app móvil. MASVS v2, backend que la app consume, almacenamiento de tokens, deep-link hijacking.

S/07 · desde $5.990

Infrastructure

Cloud (AWS/Azure/GCP), K8s, AD, perímetro corporativo. Path desde internet hasta tus secrets de producción.

S/08 · desde $9.990

Red Team

Simulación adversarial MITRE ATT&CK. Phishing al equipo, EDR evasion, exfil. Para Series-B+ donde un incidente cuesta la ronda.

◆ FLAGSHIP
§ 03 / 04 Compliance

Un reporte. Tu auditor ya tiene el mapping.

SOC 2 Type II · CC7.1 / CC7.2 / CC8.1 pentest evidence
ISO 27001:2022 · Annex A.5/A.8/A.12 controls
NIST CSF 2.0 · ID/PR/DE/RS alignment
GDPR (UE clients) · art. 32 medidas técnicas
OWASP ASVS L2 · 14 categorías full coverage
OWASP API Security Top 10 (2023) · BOLA/BOPLA/BFLA
Uruguay 18.331 + Decreto 66/025
Argentina 25.326 + AAIP 47/2018
Brasil LGPD · art. 46 ANPD reporting
Ver matrix completa →

Si tu SaaS está cerrando un Series B
o entrando a enterprise — esto es lo que compliance te va a pedir.

Engagement con SLA de 48h para Starter y Professional. Reporte mapeado a SOC 2 / ISO 27001 directamente. Retest a 30 días incluido para que tu auditor vea los fixes verificados.

hello@rekon.sh