Як працуе Vulny
Vulny запускае адзін бяспечны, аўтаматызаваны скан, які адразу ахоплівае тры рэчы: бяспеку, SEO і AI-пошук (GEO). Вы ўводзіце адрас сайта, якім валодаеце, і Vulny тэстуе яго так, як гэта рабіў бы зламыснік, пошукавая сістэма і AI-памочнік — а потым вяртае прыярытэзаваныя знаходкі з выпраўленнем простай мовай для кожнай. Вось што адбываецца на кожным этапе.
Як працуе знешні скан уразлівасцей?
Знешні скан глядзіць на вашы сістэмы з публічнага інтэрнэту, дакладна так, як гэта рабіў бы зламыснік перад узломам. Vulny выяўляе вашы хасты, звернутыя да інтэрнэту, знаходзіць кожны адкрыты порт і вызначае сэрвіс і версію за кожным з іх — вэб-серверы, паштовыя серверы, базы дадзеных, сэрвісы выдаленага доступу і іншае. Затым ён супастаўляе кожны сэрвіс з вядомымі ўразлівасцямі, каб вы бачылі, што мог бы дасягнуць і эксплуатаваць старонні. Ніякія ўліковыя дадзеныя ці агенты не ўсталёўваюцца: скан выконваецца цалкам звонку, таму вы можаце запусціць яго за хвіліны на любым дамене ці IP, якім валодаеце. Гэты погляд звонку ўнутр найбольш важны, бо гэта дакладна тая паверхня, якую зламыснікі даследуюць першай — кожны адкрыты сэрвіс, уключаючы забыты субдамен ці стэйджынг-машыну, пра якую ніхто не памятаў, што яна ўсё яшчэ жывая.
Што правярае сканер вэб-прыкладанняў?
Кожны вэб-сэрвіс, які знаходзіць Vulny, тэстуецца на праблемы, што найчасцей вядуць да ўзлому. Гэта ўключае класы OWASP Top 10 — інjекцыі, зламанае кіраванне доступам, памылкі канфігурацыі бяспекі і іншае — плюс адкрытыя канфідэнцыйныя файлы, такія як рэзервовыя копіі, дырэкторыі .git і файлы канфігурацыі ці асяроддзя, адсутныя ці слабыя загалоўкі бяспекі і старонкі па змаўчанні, якія ніколі не павінны быць публічнымі. Шаблоны дэтэктавання абнаўляюцца бесперапынна, таму сканер працягвае правяраць нядаўна апублікаваныя вэб-уразлівасці, а не толькі фіксаваны спіс з дня выпуску. Кожная знаходка вяртаецца з яе сур'ёзнасцю, закранутым URL і выпраўленнем простай мовай, каб распрацоўшчык мог узнавіць і закрыць яе без спецыяліста па бяспецы. Тэсты недэструктыўныя: Vulny пацвярджае наяўнасць слабага месца, не эксплуатуючы яго і не змяняючы вашы дадзеныя.
Што такое сканіраванне shadow-API?
Shadow API — гэта канчатковыя пункты, якія існуюць, але адсутнічаюць у вашай дакументацыі — старыя версіі, забытыя адмінскія маршруты ці сэрвісы, якія каманда выпусціла, нікому не сказаўшы. Яны з'яўляюцца ўлюбёнай мэтай, бо ніхто за імі не сочыць. Vulny праходзіць ваша прыкладанне, каб выявіць як дакументаваныя, так і недакументаваныя API-канчатковыя пункты, затым бяспечна фазіруе іх на памылкі аўтэнтыфікацыі і аўтарызацыі і інjекцыйныя памылкі, уключаючы SSRF, LFI, SSTI і path traversal. Вынік — карта вашай рэальнай API-паверхні, уключаючы тыя часткі, пра якія вы забылі, і дзе кожны слабы. Гэта мае ўсё большае значэнне кожны год, бо зламыснікі ўсё часцей узломліваюць кампаніі праз API, а не праз франтальны сайт, і вы не можаце абараніць канчатковы пункт, пра існаванне якога не ведаеце.
Як Vulny правярае вашу канфігурацыю TLS / SSL?
Vulny інспектуе сертыфікат і налады шыфравання на кожным сэрвісе, які выкарыстоўвае TLS. Ён пазначае сертыфікаты, якія пратэрмінаваны, самападпісаны ці выдадзены недаверным цэнтрам, і канфігурацыі, якія ўсё яшчэ дазваляюць састарэлыя версіі пратаколаў ці слабыя шыфры, да якіх зламыснік мог бы паніжаць злучэнне. Слабая налада TLS ціхамірна падрывае ўсё астатняе, таму гэтыя праверкі выконваюцца на кожным шыфраваным порце — не толькі на вашым галоўным сайце — і кажуць вам дакладна, што змяніць. Дрэнны TLS рэдка выдае відавочную памылку, таму ён застаецца незаўважаным гадамі: сайт усё яшчэ загружаецца і замочак усё яшчэ паказваецца, але злучэнне можа быць перахоплена ці паніжана. Vulny выяўляе гэтыя цэлыя слабыя месцы з канкрэтным сертыфікатам, пратаколам ці шыфрам для выпраўлення.
Як Vulny супастаўляе ўразлівасці з CVE?
Калі Vulny ведае праграмнае забеспячэнне і версіі, якія вы выкарыстоўваеце, ён супастаўляе іх з базай дэтэктавання з 357,755+ тэстаў уразлівасцей. Кожнае супадзенне ўзбагачаецца яго сур'ёзнасцю CVSS, тым, ці знаходзіцца яно ў спісе CISA KEV уразлівасцей, вядомых як эксплуатуемыя ў рэальнасці, яго верагоднасцю эксплуатацыі EPSS і любым публічным эксплойт-кодам. Гэты кантэкст ператварае доўгі спіс у кароткі: замест тысячы тэарэтычных праблем вы атрымліваеце жменьку тых, што сапраўды небяспечныя для вас, ранжыраваных у першую чаргу. База абнаўляецца кожныя дзве гадзіны, таму вас пераправяраюць супраць абсалютна новых CVE у той жа дзень, калі яны раскрываюцца. Бо супастаўленне выкарыстоўвае дакладныя версіі, якія вызначыў Vulny, яно пазбягае ілжывых спрацоўванняў, што пакутуюць генерычныя сканеры, якія пазначаюць CVE на кожным хасце з прыкладна правільным прадуктам незалежна ад версіі.
Як працуе SEO-аўдыт?
У тым жа праходзе Vulny правярае, наколькі вашы старонкі гатовыя да ранжыравання ў Google. Ён загружае кожную старонку так, як гэта робіць пошукавая сістэма, і аналізуе сігналы, што вызначаюць бачнасць — ад таго, наколькі старонка прыдатная да індэксацыі і хуткая, да таго, наколькі ясна яна кажа Google, пра што яна. Вы атрымліваеце адзіны SEO-бал з канкрэтнымі праблемамі, што стрымліваюць вас, і выпраўленнем простай мовай для кожнай, каб вы маглі падняцца ў выдачы без найму SEO-агенцтва. Сэнс просты: самы бяспечны сайт у свеце ўсё роўна церпіць няўдачу, калі кліенты не могуць знайсці яго ў Google, таму бяспека і знаходжанне належаць адному скану, а не двум інструментам.
Як працуе аўдыт AI-пошуку (GEO)?
Пакупнікі ўсё часцей пытаюцца ў ChatGPT, Perplexity і AI ад Google рэкамендацыі замест пракруткі старонкі вынікаў — а гэтыя рухавікі цытуюць толькі старонкі, якія яны могуць прачытаць і якім давяраюць. Аўдыт GEO (Generative Engine Optimisation) ад Vulny правярае, ці бачны і прыдатны да цытавання ваш сайт для AI-памочнікаў, затым ацэньвае, наколькі верагодна, што вас працытуюць, і кажа, што палепшыць. Гэта найноўшы фронт у знаходжанні онлайн, і большасць вашых канкурэнтаў яшчэ не сочаць за ім — менавіта таму выправіць гэта зараз — перавага. Бяспека, SEO і AI-пошук, адзін скан, адна справаздача.
Што знаходзіць тыповы скан?
Першы скан сайта малога бізнесу часта выяўляе жменьку рэальных праблем: састарэлы вэб-сервер з вядомым CVE, пару адсутных загалоўкаў бяспекі, адкрытую рэзервовую копію ці папку .git і канфігурацыю TLS, што ўсё яшчэ дазваляе стары пратакол. Кожная знаходка пастаўляецца з яе сур'ёзнасцю, закранутым хастом і портам і выпраўленнем простай мовай. Вы можаце экспартаваць увесь аналіз як брэндаваную PDF ці рэдагуемую DOC-справаздачу — гатовую для аўдытара, кліента ці вашых уласных інжынераў. Найважней, знаходкі ранжыруюцца па рэальнай рызыцы, а не звальваюцца ў недыферэнцыяваны спіс, таму вы марнуеце час на адну-дзве праблемы, якія зламыснік сапраўды выкарыстаў бы, а не на сотню нізкапрыярытэтных нататак.
Ці бяспечнае і неперашкаджальнае сканіраванне?
Vulny пабудаваны быць недэструктыўным: ён выяўляе і пацвярджае слабыя месцы, не эксплуатуючы іх, не выдаляючы дадзеныя і не выводзячы сэрвісы з ладу. Сканы ўлічваюць хуткасць, таму яны не перагружаюць вашы серверы, і вы можаце сканіраваць толькі актывы, якімі валодаеце ці маеце дазвол тэставаць — Vulny правярае ўладанне даменам перад першым сканам любой новай мэты. Гэта робіць яго бяспечным для бесперапыннага запуску ў фоне, а не толькі падчас запланаванага акна абслугоўвання. Вы атрымліваеце тую ж глыбіню тэставання, якую паспрабаваў бы зламыснік, але без рызыкі для даступнасці ці цэласнасці дадзеных, якую нёс бы рэальны ўзлом — ці неабачлівы сканер, што і робіць заўсёды ўключанае сканіраванне практычным замест падзеі раз на год.
Праверце на сваім сайце
Запусціце адзін скан для бяспекі, SEO і AI-пошуку (GEO) — і атрымайце брэндаваную PDF-справаздачу, гатовую да ISO 27001.
Сканіраваць мой сайт →