Veebi- & API-turvalisus
Lisaks võrgukihile testib Vulny sinu veebirakendusi ja API-sid probleemide suhtes, mis viivad tegelike rikkumisteni.
Mille suhtes Vulny veebirakenduste skanner testib?
Vulny veebirakenduste skanner testib sinu saite nõrkuste suhtes, millest kõige sagedamini saavad tegelikud rikkumised. See uurib turvaliselt iga leitud veebiteenust OWASP Top 10 klasside suhtes — injektsioon, cross-site scripting (XSS), katkine juurdepääsukontroll ja turvaväärseadistus — koos avatud tundlike failidega nagu varukoopiad, .git-kataloogid ja keskkonnafailid, puuduvad või nõrgad turvapäised, vaikelehed, mis ei tohiks kunagi avalikud olla, ja nõrk TLS-seadistus. Tuvastusmalle uuendatakse pidevalt, nii et skanner kontrollib jätkuvalt äsja avalikustatud veebinõrkusi, mitte fikseeritud nimekirja selle väljalaske päevast. Iga probleem tuleb tagasi oma raskusastmega, mõjutatud URL-iga ja lihtsas keeles lahendusega, nii et sinu arendajad saavad selle reprodutseerida ja sulgeda ilma eriotstarbeliste turvateadmisteta. Skannimine on mittehävitav — Vulny kinnitab nõrkuse olemasolu seda ära kasutamata või sinu andmeid muutmata.
Mis on shadow-API avastamine ja miks see oluline on?
Shadow-API-d on lõpp-punktid, mis on olemas, kuid pole sinu dokumentatsioonis — vanad API-versioonid, unustatud administraatorimarsruudid või teenused, mille mõni meeskond välja andis kellelegi rääkimata. Need on lemmik sihtmärk just seetõttu, et keegi neid ei jälgi. Vulny roomab läbi sinu rakenduse, et kaardistada nii dokumenteeritud kui ka dokumenteerimata API-lõpp-punktid, ning seejärel udustab turvaliselt igaühte autentimis- ja autoriseerimisvigade ning injektsioonivigade suhtes, sealhulgas SSRF, LFI, SSTI ja path traversal. Tulemuseks on sinu tegeliku API-pinna kaart — sealhulgas need osad, mille olid unustanud — ja täpselt see, kus iga lõpp-punkt on nõrk. Kuna kaasaegsed rikkumised toimuvad üha enam API-de, mitte esiotsa kaudu, on sinu tõelise API-loendi tundmine pool võitu: sa ei saa kaitsta lõpp-punkti, mille olemasolust sa ei tea. Leiud seatakse tähtsuse järjekorda reaalse riski alusel, nii et kõige ohtlikumad avatused tõusevad ülaossa.
Kas veebi- ja API-skannimine on ohutu käivitada?
Jah — Vulny veebi- ja API-skannimine on disainilt mittehävitav. See tuvastab ja kinnitab nõrkusi neid ära kasutamata, andmeid kustutamata või sinu teenuseid välja lülitamata, ja skannimised on kiirusteadlikud, nii et need ei koorma sinu servereid üle. See teeb selle ohutuks pidevaks käivitamiseks tootmise vastu, mitte ainult hooldusakna sees. Sa võid skannida ainult varasid, mida sa omad või mida sul on selgesõnaliselt lubatud testida; skannimise käivitamisega kinnitad sa selle loa, ja Vulny kontrollib domeeni omandiõigust enne mis tahes uue sihtmärgi esimest skannimist. See hoiab skanneri nii juriidiliselt kui ka töökorralduslikult ohutuna: sa saad sama testimissügavuse, mida ründaja prooviks, kuid ilma ühegi käideldavuse või andmete terviklikkuse riskita, mida tegelik rünnak — või hoolimatu skanner — endaga kaasa tooks.
Vaata seda oma veebisaidil
Käivita üks skannimine turvalisuse, SEO ja AI-otsingu (GEO) jaoks — ja saa brändiga, ISO 27001-valmis PDF-aruanne.
Skaneeri minu saiti →