Wie Vulny funktioniert
Vulny führt einen sicheren, automatisierten Scan durch, der drei Dinge auf einmal abdeckt: Sicherheit, SEO und KI-Suche (GEO). Sie geben eine Website-Adresse ein, die Ihnen gehört, und Vulny testet sie so, wie es ein Angreifer, eine Suchmaschine und ein KI-Assistent jeweils tun würden — und liefert dann priorisierte Funde mit einer leicht verständlichen Korrektur für jeden. Hier ist, was in jeder Phase passiert.
Wie funktioniert ein externer Schwachstellen-Scan?
Ein externer Scan betrachtet Ihre Systeme aus dem öffentlichen Internet, genau wie es ein Angreifer vor einem Einbruch tun würde. Vulny entdeckt Ihre dem Internet zugewandten Hosts, findet jeden offenen Port und identifiziert den Dienst und die Version dahinter — Webserver, Mailserver, Datenbanken, Fernzugriffsdienste und mehr. Anschließend gleicht er jeden Dienst mit bekannten Schwachstellen ab, sodass Sie sehen, was ein Außenstehender erreichen und ausnutzen könnte. Es werden keine Anmeldedaten oder Agenten installiert: Der Scan läuft vollständig von außen, weshalb Sie ihn in Minuten auf jeder Domain oder IP starten können, die Ihnen gehört. Diese Außenansicht ist die wichtigste, denn sie ist genau die Angriffsfläche, die Angreifer zuerst sondieren — jeder exponierte Dienst, einschließlich der vergessenen Subdomain oder Staging-Maschine, von der niemand wusste, dass sie noch online ist.
Was prüft der Web-Application-Scanner?
Jeder Webdienst, den Vulny findet, wird auf die Probleme getestet, die am häufigsten zu einem Sicherheitsvorfall führen. Dazu gehören die OWASP-Top-10-Klassen — Injection, Broken Access Control, Security Misconfiguration und mehr — sowie exponierte sensible Dateien wie Backups, .git-Verzeichnisse und Konfigurations- oder Umgebungsdateien, fehlende oder schwache Sicherheits-Header und Standardseiten, die niemals öffentlich sein sollten. Die Erkennungsvorlagen werden kontinuierlich aktualisiert, sodass der Scanner laufend auf neu veröffentlichte Web-Schwachstellen prüft, nicht nur auf eine feste Liste vom Tag der Auslieferung. Jeder Fund kommt mit seinem Schweregrad, der betroffenen URL und einer leicht verständlichen Korrektur zurück, sodass ein Entwickler ihn ohne Sicherheitsspezialisten reproduzieren und beheben kann. Die Tests sind zerstörungsfrei: Vulny bestätigt, dass eine Schwachstelle existiert, ohne sie auszunutzen oder Ihre Daten zu verändern.
Was ist Shadow-API-Scanning?
Shadow-APIs sind Endpunkte, die existieren, aber nicht in Ihrer Dokumentation stehen — alte Versionen, vergessene Admin-Routen oder Dienste, die ein Team ausgeliefert hat, ohne jemandem Bescheid zu sagen. Sie sind ein beliebtes Ziel, weil niemand sie beobachtet. Vulny durchsucht Ihre Anwendung, um sowohl dokumentierte als auch undokumentierte API-Endpunkte zu entdecken, und fuzzt sie dann sicher auf Authentifizierungs- und Autorisierungsfehler sowie Injection-Bugs einschließlich SSRF, LFI, SSTI und Path Traversal. Das Ergebnis ist eine Karte Ihrer echten API-Oberfläche — einschließlich der Teile, die Sie vergessen hatten — und wo jeder davon schwach ist. Das wird jedes Jahr wichtiger, denn Angreifer kompromittieren Unternehmen zunehmend über APIs statt über die Frontend-Website, und Sie können einen Endpunkt nicht verteidigen, von dessen Existenz Sie nichts wissen.
Wie prüft Vulny Ihre TLS-/SSL-Konfiguration?
Vulny inspiziert die Zertifikats- und Verschlüsselungseinstellungen jedes Dienstes, der TLS verwendet. Er kennzeichnet Zertifikate, die abgelaufen, selbstsigniert oder von einer nicht vertrauenswürdigen Stelle ausgestellt sind, sowie Konfigurationen, die noch veraltete Protokollversionen oder schwache Cipher zulassen, auf die ein Angreifer herabstufen könnte. Eine schwache TLS-Konfiguration untergräbt unbemerkt alles andere, daher laufen diese Prüfungen auf jedem verschlüsselten Port — nicht nur auf Ihrer Hauptwebsite — und sagen Ihnen genau, was zu ändern ist. Schlechtes TLS wirft selten einen offensichtlichen Fehler, weshalb es jahrelang unbemerkt bleibt: Die Site lädt weiterhin und das Schloss-Symbol wird weiterhin angezeigt, aber die Verbindung kann abgefangen oder herabgestuft werden. Vulny deckt diese stillen Schwächen mit dem konkreten Zertifikat, Protokoll oder Cipher auf, das zu beheben ist.
Wie ordnet Vulny Schwachstellen den CVEs zu?
Sobald Vulny die Software und Versionen kennt, die Sie betreiben, gleicht er sie mit einer Erkennungsdatenbank von 357,755+ Schwachstellentests ab. Jeder Treffer wird angereichert mit seinem CVSS-Schweregrad, ob er auf der CISA-KEV-Liste der Schwachstellen steht, die nachweislich in freier Wildbahn ausgenutzt werden, seiner EPSS-Ausnutzungswahrscheinlichkeit und etwaigem öffentlichem Exploit-Code. Dieser Kontext verwandelt eine lange Liste in eine kurze: Statt tausend theoretischer Probleme erhalten Sie die wenigen, die für Sie wirklich gefährlich sind, zuerst gereiht. Die Datenbank aktualisiert sich alle zwei Stunden, sodass Sie noch am selben Tag, an dem sie offengelegt werden, gegen brandneue CVEs erneut geprüft werden. Da der Abgleich die exakten Versionen verwendet, die Vulny identifiziert hat, vermeidet er die False Positives, die generische Scanner plagen, welche ein CVE auf jedem Host melden, der ungefähr das richtige Produkt unabhängig von der Version betreibt.
Wie funktioniert das SEO-Audit?
Im selben Durchgang prüft Vulny, wie bereit Ihre Seiten sind, bei Google zu ranken. Er lädt jede Seite so, wie es eine Suchmaschine tut, und überprüft die Signale, die über die Sichtbarkeit entscheiden — von der Crawlbarkeit und Ladegeschwindigkeit der Seite bis hin dazu, wie klar sie Google sagt, worum es geht. Sie erhalten einen einzigen SEO-Score mit den konkreten Problemen, die Sie zurückhalten, und einer leicht verständlichen Korrektur für jedes, sodass Sie in den Rankings aufsteigen können, ohne eine SEO-Agentur zu beauftragen. Der Punkt ist einfach: Die sicherste Website der Welt scheitert trotzdem, wenn Kunden sie bei Google nicht finden, daher gehören Sicherheit und Auffindbarkeit in einen Scan, nicht in zwei Tools.
Wie funktioniert das KI-Suche- (GEO) Audit?
Käufer fragen zunehmend ChatGPT, Perplexity und die KI von Google nach Empfehlungen, statt eine Ergebnisseite zu durchscrollen — und diese Engines zitieren nur Seiten, die sie lesen und denen sie vertrauen können. Das GEO- (Generative Engine Optimisation) Audit von Vulny prüft, ob Ihre Site für KI-Assistenten sichtbar und zitierbar ist, bewertet dann, wie wahrscheinlich es ist, dass Sie zitiert werden, und sagt Ihnen, was Sie verbessern sollten. Das ist die neueste Front beim Online-Gefundenwerden, und die meisten Ihrer Wettbewerber beobachten sie noch nicht — genau deshalb ist es ein Vorteil, jetzt nachzubessern. Sicherheit, SEO und KI-Suche, ein Scan, ein Bericht.
Was findet ein typischer Scan?
Ein erster Scan einer kleinen Unternehmenswebsite bringt oft eine Handvoll echter Probleme zutage: einen veralteten Webserver mit einem bekannten CVE, ein paar fehlende Sicherheits-Header, einen exponierten Backup- oder .git-Ordner und eine TLS-Konfiguration, die noch ein altes Protokoll zulässt. Jeder Fund kommt mit seinem Schweregrad, dem betroffenen Host und Port und einer leicht verständlichen Korrektur. Sie können die gesamte Bewertung als gebrandeten PDF- oder bearbeitbaren DOC-Bericht exportieren — fertig für einen Auditor, einen Kunden oder Ihre eigenen Techniker zur Bearbeitung. Entscheidend ist, dass die Funde nach realem Risiko gereiht und nicht als undifferenzierte Liste abgeladen werden, sodass Sie Ihre Zeit auf die ein oder zwei Probleme verwenden, die ein Angreifer tatsächlich nutzen würde, und nicht auf hundert Notizen niedriger Priorität.
Ist das Scannen sicher und störungsfrei?
Vulny ist darauf ausgelegt, zerstörungsfrei zu sein: Er identifiziert und verifiziert Schwächen, ohne sie auszunutzen, Daten zu löschen oder Dienste offline zu nehmen. Scans sind ratenbewusst, sodass sie Ihre Server nicht überlasten, und Sie dürfen nur Assets scannen, die Ihnen gehören oder zu deren Test Sie berechtigt sind — Vulny verifiziert den Domain-Besitz vor dem ersten Scan jedes neuen Ziels. Das macht es sicher, sie kontinuierlich im Hintergrund auszuführen, statt nur während eines geplanten Wartungsfensters. Sie erhalten dieselbe Testtiefe, die ein Angreifer versuchen würde, aber ohne das Risiko für Verfügbarkeit oder Datenintegrität, das ein echter Einbruch — oder ein rücksichtsloser Scanner — mit sich bringen würde, was Always-on-Scanning praktikabel macht statt zu einem einmaligen Jahresereignis.
Testen Sie es auf Ihrer eigenen Website
Führen Sie einen Scan für Sicherheit, SEO und KI-Suche (GEO) durch — und erhalten Sie einen gebrandeten, ISO 27001 fertigen PDF-Bericht.
Meine Website scannen →