Sigurnost weba i API-ja

Izvan mrežnog sloja Vulny testira vaše web-aplikacije i API-je na probleme koji vode do stvarnih proboja.

Ažurirano 18. lipnja 2026.

Što testira Vulnyjev skener web-aplikacija?

Vulnyjev skener web-aplikacija testira vaša web-mjesta na slabosti koje se najčešće pretvaraju u stvarne probone. Sigurno ispituje svaku pronađenu web-uslugu na klase iz OWASP Top 10 — injekcije, cross-site scripting (XSS), narušenu kontrolu pristupa i pogrešnu sigurnosnu konfiguraciju — uz izložene osjetljive datoteke poput sigurnosnih kopija, direktorija .git i datoteka okruženja, nedostajuća ili slaba sigurnosna zaglavlja, zadane stranice koje nikada ne bi smjele biti javne i slabu konfiguraciju TLS. Predlošci za detekciju neprekidno se ažuriraju, pa skener stalno provjerava novootkrivene web-slabosti, a ne fiksan popis iz dana kad je objavljen. Svaki problem vraća se sa svojom ozbiljnošću, pogođenim URL-om i popravkom na razumljivom jeziku, tako da ga vaši razvojni programeri mogu reproducirati i zatvoriti bez specijaliziranog sigurnosnog znanja. Skeniranje je nedestruktivno — Vulny potvrđuje postojanje slabosti bez iskorištavanja ili mijenjanja vaših podataka.

Što je otkrivanje Shadow-API i zašto je važno?

Shadow API su krajnje točke koje postoje, ali nisu u vašoj dokumentaciji — stare verzije API-ja, zaboravljene administratorske rute ili usluge koje je tim isporučio bez da je ikome rekao. Omiljena su meta upravo zato što ih nitko ne nadzire. Vulny prolazi vašu aplikaciju kako bi mapirao i dokumentirane i nedokumentirane API krajnje točke, a zatim svaku sigurno fuzzira na propuste autentikacije i autorizacije te injekcije, uključujući SSRF, LFI, SSTI i path traversal. Rezultat je karta vaše stvarne API površine — uključujući dijelove koje ste zaboravili — i točno gdje je svaka krajnja točka slaba. Budući da se moderni proboji sve češće događaju kroz API-je nego kroz prednji dio, poznavanje vašeg stvarnog inventara API-ja pola je bitke: ne možete zaštititi krajnju točku za koju ne znate da postoji. Nalazi su prioritizirani prema stvarnom riziku, tako da se najopasnije izloženosti dižu na vrh.

Je li skeniranje weba i API-ja sigurno pokretati?

Da — Vulnyjevo skeniranje weba i API-ja po svojoj je naravi nedestruktivno. Identificira i potvrđuje slabosti bez njihova iskorištavanja, brisanja podataka ili obaranja vaših usluga, a skeniranja vode računa o propusnosti, pa ne preopterećuju vaše poslužitelje. Zbog toga ih je sigurno neprekidno pokretati u produkciji, a ne samo unutar prozora održavanja. Smijete skenirati samo imovinu koju posjedujete ili za čije testiranje imate izričito ovlaštenje; pokretanjem skeniranja potvrđujete to ovlaštenje, a Vulny provjerava vlasništvo domene prije prvog skeniranja svake nove mete. Time skener ostaje siguran i pravno i operativno: dobivate istu dubinu testiranja koju bi napadač pokušao, ali bez ikakvog rizika za dostupnost ili cjelovitost podataka koji bi nosio stvarni napad — ili nepažljiv skener.

Pogledajte na vlastitoj web stranici

Pokrenite jedno skeniranje za sigurnost, SEO i AI-search (GEO) — i dobijte brendirani PDF izvještaj spreman za ISO 27001.

Skeniraj moju stranicu →