Jak Vulny funguje
Vulny spouští jeden bezpečný, automatizovaný sken, který pokrývá tři věci najednou: bezpečnost, SEO a AI-search (GEO). Zadáte adresu webu, který vlastníte, a Vulny jej otestuje tak, jak by to udělal útočník, vyhledávač i AI asistent — poté vrátí prioritizované nálezy se srozumitelně popsanou opravou u každého z nich. Zde je, co se děje v každé fázi.
Jak funguje externí sken zranitelností?
Externí sken se dívá na vaše systémy z veřejného internetu, přesně jako by to udělal útočník před vniknutím. Vulny objeví vaše hosty dostupné z internetu, najde každý otevřený port a identifikuje službu a verzi za každým z nich — webové servery, poštovní servery, databáze, služby vzdáleného přístupu a další. Poté každou službu porovná se známými zranitelnostmi, takže vidíte, k čemu by se mohl někdo zvenčí dostat a co zneužít. Neinstalují se žádné přihlašovací údaje ani agenti: sken běží zcela zvenčí, a proto jej můžete na libovolné doméně či IP, kterou vlastníte, spustit během několika minut. Tento pohled zvenčí dovnitř je nejdůležitější, protože je to přesně ta plocha, kterou útočníci zkoumají jako první — každou vystavenou službu, včetně zapomenuté subdomény nebo testovacího serveru, o němž si nikdo nepamatoval, že stále běží.
Co kontroluje skener webových aplikací?
Každá webová služba, kterou Vulny najde, je testována na problémy, které nejčastěji vedou k narušení. To zahrnuje třídy OWASP Top 10 — injekce, narušené řízení přístupu, chybnou konfiguraci zabezpečení a další — plus vystavené citlivé soubory jako zálohy, adresáře .git a konfigurační či prostředí soubory, chybějící nebo slabé bezpečnostní hlavičky a výchozí stránky, které by nikdy neměly být veřejné. Detekční šablony se průběžně aktualizují, takže skener stále kontroluje nově zveřejněné webové slabiny, ne jen pevný seznam ze dne vydání. Každý nález se vrací se svou závažností, dotčenou URL a srozumitelně popsanou opravou, takže vývojář jej dokáže reprodukovat a uzavřít bez potřeby bezpečnostního specialisty. Testy jsou nedestruktivní: Vulny potvrdí existenci slabiny, aniž by ji zneužil nebo měnil vaše data.
Co je skenování shadow-API?
Shadow API jsou koncové body, které existují, ale nejsou ve vaší dokumentaci — staré verze, zapomenuté administrátorské cesty nebo služby, které tým nasadil, aniž by to někomu řekl. Jsou oblíbeným cílem, protože je nikdo nehlídá. Vulny prochází vaši aplikaci, aby objevil dokumentované i nedokumentované koncové body API, a poté je bezpečně fuzzuje na chyby autentizace a autorizace a injekční chyby včetně SSRF, LFI, SSTI a path traversal. Výsledkem je mapa vaší skutečné plochy API — včetně částí, na které jste zapomněli — a toho, kde je každý z nich slabý. To je každým rokem důležitější, protože útočníci stále častěji pronikají do firem přes API, nikoli přes front-endový web, a koncový bod, o jehož existenci nevíte, nemůžete bránit.
Jak Vulny kontroluje vaši konfiguraci TLS / SSL?
Vulny prozkoumá certifikát a nastavení šifrování u každé služby, která používá TLS. Označí certifikáty, které jsou prošlé, podepsané sebou samým nebo vydané nedůvěryhodnou autoritou, a konfigurace, které stále umožňují zastaralé verze protokolu nebo slabé šifry, na něž by útočník mohl downgradovat. Slabé nastavení TLS tiše podkopává vše ostatní, takže tyto kontroly běží na každém šifrovaném portu — nejen na vašem hlavním webu — a řeknou vám přesně, co změnit. Špatné TLS málokdy vyhodí zjevnou chybu, a proto zůstává léta nepovšimnuto: web se stále načítá a zámeček se stále zobrazuje, ale spojení lze zachytit nebo downgradovat. Vulny tyto tiché slabiny odhalí s konkrétním certifikátem, protokolem nebo šifrou k opravě.
Jak Vulny páruje zranitelnosti s CVE?
Jakmile Vulny zná software a verze, které používáte, páruje je s detekční databází 357,755+ testů zranitelností. Každá shoda je obohacena o svou závažnost CVSS, o to, zda je na seznamu CISA KEV zranitelností známých jako aktivně zneužívané, o pravděpodobnost zneužití EPSS a o jakýkoli veřejný kód exploitu. Právě tento kontext mění dlouhý seznam v krátký: namísto tisíce teoretických problémů dostanete tu hrstku, která je pro vás skutečně nebezpečná, seřazenou na začátek. Databáze se obnovuje každé dvě hodiny, takže jste znovu zkontrolováni proti zbrusu novým CVE ve stejný den, kdy jsou zveřejněny. Protože párování používá přesné verze, které Vulny identifikoval, vyhýbá se falešně pozitivním nálezům trápícím obecné skenery, jež označí CVE na každém hostu provozujícím zhruba správný produkt bez ohledu na verzi.
Jak funguje SEO audit?
Ve stejném průchodu Vulny kontroluje, jak připravené jsou vaše stránky na pozici na Googlu. Načte každou stránku tak, jak to dělá vyhledávač, a prohlédne signály, které rozhodují o viditelnosti — od toho, jak je stránka procházitelná a rychlá, po to, jak jasně Googlu sděluje, o čem je. Dostanete jediné SEO skóre s konkrétními problémy, které vás brzdí, a srozumitelně popsanou opravou u každého z nich, takže můžete stoupat v žebříčku bez najímání SEO agentury. Pointa je jednoduchá: nejbezpečnější web na světě stejně selže, pokud jej zákazníci nemohou na Googlu najít, takže bezpečnost a nalézatelnost patří do jednoho skenu, ne do dvou nástrojů.
Jak funguje audit AI-search (GEO)?
Kupující se stále častěji ptají ChatGPT, Perplexity a AI od Googlu na doporučení, namísto procházení stránky výsledků — a tyto enginy citují jen stránky, které dokážou přečíst a kterým důvěřují. GEO audit (Generative Engine Optimisation) od Vulny kontroluje, zda je váš web viditelný a citovatelný pro AI asistenty, poté ohodnotí, jak pravděpodobné je, že budete citováni, a řekne vám, co zlepšit. Je to nejnovější fronta v nalézání online a většina vašich konkurentů ji ještě nesleduje — a právě proto je výhodou to napravit teď. Bezpečnost, SEO a AI-search — jeden sken, jeden report.
Co typický sken najde?
První sken webu malé firmy často odhalí hrstku skutečných problémů: zastaralý webový server se známým CVE, pár chybějících bezpečnostních hlaviček, vystavenou složku zálohy nebo .git a konfiguraci TLS stále umožňující starý protokol. Každý nález přichází se svou závažností, dotčeným hostem a portem a srozumitelně popsanou opravou. Celé posouzení můžete exportovat jako značkový report v PDF nebo editovatelný DOC — připravený pro auditora, klienta nebo vaše vlastní inženýry ke zpracování. Klíčové je, že nálezy jsou seřazeny podle reálného rizika, nikoli vysypány jako nerozlišený seznam, takže svůj čas věnujete jednomu či dvěma problémům, které by útočník skutečně využil, a ne stovce poznámek s nízkou prioritou.
Je skenování bezpečné a nenarušující?
Vulny je postaven tak, aby byl nedestruktivní: identifikuje a ověřuje slabiny, aniž by je zneužíval, mazal data nebo vyřazoval služby z provozu. Skeny respektují tempo, takže nepřetěžují vaše servery, a skenovat smíte jen aktiva, která vlastníte nebo k jejichž testování máte oprávnění — Vulny ověří vlastnictví domény před prvním skenem každého nového cíle. Díky tomu je lze bezpečně spouštět nepřetržitě na pozadí, a ne jen během naplánovaného údržbového okna. Dostanete stejnou hloubku testování, o jakou by se útočník pokusil, ale bez rizika pro dostupnost či integritu dat, které by neslo skutečné vniknutí — nebo bezohledný skener — což činí trvale zapnuté skenování praktickým, místo aby šlo o událost jednou za rok.
Vyzkoušejte to na vlastním webu
Spusťte jeden sken pro bezpečnost, SEO i AI-search (GEO) — a získejte značkový report v PDF připravený pro ISO 27001.
Naskenovat můj web →