كيف يعمل Vulny
يشغّل Vulny فحصًا واحدًا آمنًا وآليًا يغطي ثلاثة أشياء في آن واحد: الأمان وSEO وAI-search (GEO). تُدخل عنوان موقع تملكه، ويختبره Vulny بالطريقة التي يفعلها المهاجم ومحرك البحث ومساعد الذكاء الاصطناعي على حد سواء — ثم يعيد نتائج مرتبة حسب الأولوية مع إصلاح بلغة واضحة لكل منها. إليك ما يحدث في كل مرحلة.
كيف يعمل فحص الثغرات الخارجي؟
ينظر الفحص الخارجي إلى أنظمتك من الإنترنت العام، تمامًا كما يفعل المهاجم قبل الاختراق. يكتشف Vulny مضيفيك المتصلين بالإنترنت، ويعثر على كل منفذ مفتوح، ويحدّد بصمة الخدمة والإصدار خلف كل منها — خوادم الويب وخوادم البريد وقواعد البيانات وخدمات الوصول عن بُعد وغيرها. ثم يطابق كل خدمة مع الثغرات المعروفة، فترى ما يمكن لشخص خارجي الوصول إليه واستغلاله. لا تُثبَّت أي بيانات اعتماد أو وكلاء: يعمل الفحص بالكامل من الخارج، ولهذا يمكنك بدؤه خلال دقائق على أي نطاق أو IP تملكه. هذا المنظور من الخارج إلى الداخل هو الأهم، لأنه بالضبط السطح الذي يفحصه المهاجمون أولًا — كل خدمة مكشوفة، بما في ذلك النطاق الفرعي المنسي أو خادم التجهيز الذي لم يتذكر أحد أنه ما زال نشطًا.
ماذا يفحص ماسح تطبيقات الويب؟
تُختبر كل خدمة ويب يعثر عليها Vulny بحثًا عن المشكلات التي تؤدي غالبًا إلى اختراق. يشمل ذلك فئات OWASP Top 10 — الحقن، وكسر التحكم في الوصول، وسوء تكوين الأمان، وغيرها — إضافة إلى الملفات الحساسة المكشوفة مثل النسخ الاحتياطية وأدلة .git وملفات التكوين أو البيئة، ورؤوس الأمان المفقودة أو الضعيفة، والصفحات الافتراضية التي لا ينبغي أن تكون عامة أبدًا. تُحدَّث قوالب الكشف باستمرار، فيواصل الماسح التحقق من نقاط ضعف الويب المنشورة حديثًا، وليس مجرد قائمة ثابتة من يوم إطلاقه. تعود كل نتيجة مع خطورتها وعنوان URL المتأثر وإصلاح بلغة واضحة، حتى يتمكن المطور من إعادة إنتاجها وإغلاقها دون الحاجة إلى متخصص أمني. الاختبارات غير مدمّرة: يؤكد Vulny وجود نقطة ضعف دون استغلالها أو تغيير بياناتك.
ما هو فحص shadow-API؟
Shadow API هي نقاط نهاية موجودة لكنها ليست في وثائقك — إصدارات قديمة، أو مسارات إدارية منسية، أو خدمات أطلقها فريق دون إخبار أحد. وهي هدف مفضل لأن لا أحد يراقبها. يزحف Vulny إلى تطبيقك لاكتشاف نقاط نهاية API الموثّقة وغير الموثّقة معًا، ثم يجري fuzzing آمن بحثًا عن عيوب المصادقة والتفويض وأخطاء الحقن بما في ذلك SSRF وLFI وSSTI وtraversal المسار. النتيجة خريطة لسطح API الحقيقي لديك — بما في ذلك الأجزاء التي نسيت أنك تملكها — وأين يكون كل منها ضعيفًا. يزداد هذا أهمية كل عام، لأن المهاجمين يخترقون الشركات بشكل متزايد عبر واجهات API بدلاً من موقع الواجهة الأمامية، ولا يمكنك الدفاع عن نقطة نهاية لا تعرف بوجودها.
كيف يفحص Vulny تكوين TLS / SSL لديك؟
يفحص Vulny إعداد الشهادة والتشفير على كل خدمة تستخدم TLS. ويعلّم الشهادات منتهية الصلاحية أو الموقّعة ذاتيًا أو الصادرة عن جهة غير موثوقة، والتكوينات التي لا تزال تسمح بإصدارات بروتوكول مهملة أو أصفار تشفير ضعيفة يمكن للمهاجم الانتقال إليها بالخفض. يقوّض إعداد TLS الضعيف كل شيء آخر بصمت، لذا تعمل هذه الفحوصات على كل منفذ مشفّر — وليس فقط موقعك الرئيسي — وتخبرك بالضبط بما يجب تغييره. نادرًا ما يُظهر TLS السيئ خطأً واضحًا، ولهذا يمر دون ملاحظة لسنوات: لا يزال الموقع يُحمَّل ولا يزال القفل يظهر، لكن يمكن اعتراض الاتصال أو خفضه. يكشف Vulny تلك النقاط الضعيفة الصامتة مع الشهادة أو البروتوكول أو الأصفار المحددة التي يجب إصلاحها.
كيف يطابق Vulny الثغرات مع CVE؟
بمجرد أن يعرف Vulny البرامج والإصدارات التي تشغّلها، يطابقها مقابل قاعدة بيانات كشف تضم 357,755+ اختبار ثغرات. تُثرى كل مطابقة بخطورة CVSS الخاصة بها، وما إذا كانت في قائمة CISA KEV للثغرات المعروف استغلالها في البرية، واحتمال استغلالها وفق EPSS، وأي كود استغلال عام. هذا السياق هو ما يحوّل قائمة طويلة إلى قصيرة: بدلًا من ألف مشكلة نظرية، تحصل على الحفنة الخطيرة فعلًا بالنسبة لك، مرتبة أولًا. تتحدّث قاعدة البيانات كل ساعتين، فتُعاد فحصك مقابل CVE جديدة تمامًا في نفس يوم الإفصاح عنها. ولأن المطابقة تستخدم الإصدارات الدقيقة التي حدّد Vulny بصمتها، فإنها تتجنب الإيجابيات الكاذبة التي تبتلي الماسحات العامة، التي تعلّم CVE على كل مضيف يشغّل المنتج الصحيح تقريبًا بغض النظر عن الإصدار.
كيف يعمل تدقيق SEO؟
في التمريرة نفسها، يتحقق Vulny من مدى جاهزية صفحاتك للترتيب على Google. يحمّل كل صفحة بالطريقة التي يفعلها محرك البحث ويراجع الإشارات التي تحدد الظهور — من مدى قابلية الصفحة للزحف وسرعتها إلى مدى وضوحها في إخبار Google بمحتواها. تحصل على درجة SEO واحدة مع المشكلات المحددة التي تعيقك وإصلاح بلغة واضحة لكل منها، حتى تتسلق الترتيب دون توظيف وكالة SEO. النقطة بسيطة: يفشل أكثر المواقع أمانًا في العالم إذا لم يستطع العملاء العثور عليه على Google، لذا ينتمي الأمان وقابلية العثور إلى فحص واحد، لا أداتين.
كيف يعمل تدقيق AI-search (GEO)؟
يطلب المشترون بشكل متزايد توصيات من ChatGPT وPerplexity وذكاء Google الاصطناعي بدلًا من تصفح صفحة النتائج — وتلك المحركات تقتبس فقط الصفحات التي يمكنها قراءتها والثقة بها. يتحقق تدقيق GEO (Generative Engine Optimisation) من Vulny مما إذا كان موقعك ظاهرًا وقابلًا للاقتباس لمساعدي الذكاء الاصطناعي، ثم يقيّم مدى احتمال الاستشهاد بك ويخبرك بما يجب تحسينه. هذه أحدث جبهة في العثور عليك عبر الإنترنت، ومعظم منافسيك لا يراقبونها بعد — ولهذا بالضبط يُعدّ إصلاحها الآن ميزة. الأمان وSEO وAI-search، فحص واحد، تقرير واحد.
ماذا يجد الفحص النموذجي؟
غالبًا ما يكشف أول فحص لموقع شركة صغيرة عددًا من المشكلات الحقيقية: خادم ويب قديم به CVE معروف، وبضعة رؤوس أمان مفقودة، ونسخة احتياطية أو مجلد .git مكشوف، وتكوين TLS لا يزال يسمح ببروتوكول قديم. تأتي كل نتيجة مع خطورتها والمضيف والمنفذ المتأثرين وإصلاح بلغة واضحة. يمكنك تصدير التقييم كاملًا كتقرير PDF بعلامتك التجارية أو DOC قابل للتعديل — جاهز لمدقق أو عميل أو مهندسيك للعمل عليه. والأهم أن النتائج مرتبة حسب المخاطر الواقعية بدلًا من إلقائها كقائمة غير مميَّزة، فتقضي وقتك على المشكلة أو المشكلتين اللتين سيستخدمهما المهاجم فعلًا، لا على مئة ملاحظة منخفضة الأولوية.
هل الفحص آمن وغير معطِّل؟
صُمّم Vulny ليكون غير مدمّر: يحدد نقاط الضعف ويتحقق منها دون استغلالها أو حذف البيانات أو إيقاف الخدمات. الفحوصات واعية بالمعدل، فلا تُثقل خوادمك، ويمكنك فحص الأصول التي تملكها أو المصرّح لك باختبارها فقط — يتحقق Vulny من ملكية النطاق قبل أول فحص لأي هدف جديد. هذا يجعله آمنًا للتشغيل المستمر في الخلفية، وليس فقط خلال نافذة صيانة مجدولة. تحصل على نفس عمق الاختبار الذي يحاوله المهاجم، لكن دون المخاطرة بالتوافر أو سلامة البيانات التي قد يحملها اختراق حقيقي — أو ماسح متهور — وهو ما يجعل الفحص الدائم عمليًا بدلًا من حدث سنوي.
شاهد النتائج على موقعك
شغّل فحصًا واحدًا للأمان وSEO وAI-search (GEO) — واحصل على تقرير PDF بعلامتك التجارية وجاهز لـ ISO 27001.
افحص موقعي →