Vulny

Cara kerja Vulny

Vulny menjalankan satu pemindaian yang aman dan otomatis yang mencakup tiga hal sekaligus: keamanan, SEO, dan AI-search (GEO). Anda memasukkan alamat website yang Anda miliki, dan Vulny mengujinya sebagaimana penyerang, mesin pencari, dan asisten AI akan melakukannya — lalu mengembalikan temuan yang diprioritaskan dengan perbaikan yang ditulis dengan bahasa jelas untuk setiap masalah. Inilah yang terjadi di setiap tahap.

Bagaimana pemindaian kerentanan eksternal bekerja?

Pemindaian eksternal melihat sistem Anda dari internet publik, persis seperti yang akan dilakukan penyerang sebelum menerobos masuk. Vulny menemukan host Anda yang menghadap internet, menemukan setiap port yang terbuka, dan mengidentifikasi layanan serta versi di balik masing-masing — server web, server mail, basis data, layanan akses jarak jauh, dan lainnya. Lalu ia mencocokkan setiap layanan dengan kerentanan yang dikenal, sehingga Anda melihat apa yang dapat dijangkau dan dieksploitasi oleh pihak luar. Tidak ada kredensial atau agen yang dipasang: pemindaian berjalan sepenuhnya dari luar, itulah sebabnya Anda dapat memulainya dalam hitungan menit pada domain atau IP mana pun yang Anda miliki. Pandangan dari luar ke dalam inilah yang paling penting, karena itu persis permukaan yang pertama kali diselidiki penyerang — setiap layanan yang terekspos, termasuk subdomain yang terlupakan atau kotak staging yang tak seorang pun ingat masih aktif.

Apa yang diperiksa pemindai aplikasi web?

Setiap layanan web yang ditemukan Vulny diuji terhadap masalah yang paling sering menyebabkan pelanggaran. Termasuk kelas OWASP Top 10 — injection, kontrol akses yang rusak, kesalahan konfigurasi keamanan, dan lainnya — ditambah file sensitif yang terekspos seperti cadangan, direktori .git, dan file konfigurasi atau environment, header keamanan yang hilang atau lemah, serta halaman default yang seharusnya tidak pernah publik. Templat deteksi diperbarui terus-menerus, sehingga pemindai terus memeriksa kelemahan web yang baru dipublikasikan, bukan hanya daftar tetap sejak hari peluncurannya. Setiap temuan dikembalikan dengan tingkat keparahannya, URL yang terdampak, dan perbaikan dalam bahasa yang jelas, sehingga seorang pengembang dapat mereproduksi dan menutupnya tanpa memerlukan spesialis keamanan. Pengujian bersifat non-destruktif: Vulny memastikan suatu kelemahan ada tanpa mengeksploitasinya atau mengubah data Anda.

Apa itu pemindaian shadow-API?

Shadow API adalah endpoint yang ada tetapi tidak ada dalam dokumentasi Anda — versi lama, rute admin yang terlupakan, atau layanan yang dirilis sebuah tim tanpa memberitahu siapa pun. Mereka adalah target favorit karena tidak ada yang mengawasinya. Vulny merayapi aplikasi Anda untuk menemukan endpoint API yang terdokumentasi maupun yang tidak, lalu mem-fuzz-nya secara aman untuk mencari kelemahan autentikasi dan otorisasi serta bug injection termasuk SSRF, LFI, SSTI, dan path traversal. Hasilnya adalah peta permukaan API Anda yang sebenarnya — termasuk bagian yang Anda lupa pernah miliki — dan di mana masing-masing lemah. Ini makin penting setiap tahun, karena penyerang kian sering menerobos perusahaan melalui API alih-alih website front-end, dan Anda tidak dapat melindungi endpoint yang Anda tidak tahu keberadaannya.

Bagaimana Vulny memeriksa konfigurasi TLS / SSL Anda?

Vulny memeriksa sertifikat dan pengaturan enkripsi pada setiap layanan yang menggunakan TLS. Ia menandai sertifikat yang kedaluwarsa, ditandatangani sendiri, atau diterbitkan oleh otoritas yang tidak tepercaya, serta konfigurasi yang masih mengizinkan versi protokol usang atau cipher lemah yang dapat diturunkan oleh penyerang. Pengaturan TLS yang lemah diam-diam melemahkan segala hal lainnya, sehingga pemeriksaan ini berjalan pada setiap port terenkripsi — bukan hanya website utama Anda — dan memberi tahu Anda dengan tepat apa yang perlu diubah. TLS yang buruk jarang menampilkan kesalahan yang jelas, itulah sebabnya ia tak terdeteksi selama bertahun-tahun: situs tetap dimuat dan ikon gembok tetap muncul, tetapi koneksi dapat disadap atau diturunkan. Vulny memunculkan kelemahan senyap itu dengan sertifikat, protokol, atau cipher spesifik yang perlu diperbaiki.

Bagaimana Vulny mencocokkan kerentanan dengan CVE?

Setelah Vulny mengetahui perangkat lunak dan versi yang Anda jalankan, ia mencocokkannya dengan basis data deteksi berisi 357,755+ pengujian kerentanan. Setiap kecocokan diperkaya dengan tingkat keparahan CVSS-nya, apakah ia ada dalam daftar CISA KEV berisi kerentanan yang diketahui dieksploitasi di dunia nyata, probabilitas eksploitasi EPSS-nya, dan kode eksploitasi publik apa pun. Konteks itulah yang mengubah daftar panjang menjadi daftar pendek: alih-alih seribu masalah teoretis, Anda mendapatkan segelintir yang benar-benar berbahaya bagi Anda, diurutkan paling atas. Basis data disegarkan setiap dua jam, sehingga Anda diperiksa ulang terhadap CVE yang benar-benar baru pada hari yang sama saat dipublikasikan. Karena pencocokan menggunakan versi persis yang telah diidentifikasi Vulny, ia menghindari false positive yang mengganggu pemindai generik, yang menandai sebuah CVE pada setiap host yang menjalankan produk yang kurang lebih tepat tanpa memandang versi.

Bagaimana audit SEO bekerja?

Dalam pemindaian yang sama, Vulny memeriksa seberapa siap halaman Anda untuk berperingkat di Google. Ia memuat setiap halaman sebagaimana mesin pencari melakukannya dan meninjau sinyal yang menentukan visibilitas — dari seberapa dapat dirayapi dan cepatnya halaman hingga seberapa jelas ia memberi tahu Google tentang apa isinya. Anda mendapatkan satu skor SEO dengan masalah spesifik yang menahan Anda dan perbaikan dalam bahasa yang jelas untuk masing-masing, sehingga Anda dapat menaikkan peringkat tanpa menyewa agensi SEO. Intinya sederhana: website paling aman di dunia pun gagal jika pelanggan tidak dapat menemukannya di Google, sehingga keamanan dan ketertemuan menjadi bagian dari satu pemindaian, bukan dua alat.

Bagaimana audit AI-search (GEO) bekerja?

Pembeli kian sering bertanya kepada ChatGPT, Perplexity, dan AI Google untuk rekomendasi alih-alih menggulir halaman hasil — dan mesin-mesin itu hanya mengutip halaman yang dapat mereka baca dan percayai. Audit GEO (Generative Engine Optimisation) Vulny memeriksa apakah situs Anda terlihat dan dapat dikutip oleh asisten AI, lalu menilai seberapa besar kemungkinan Anda dikutip dan memberi tahu Anda apa yang perlu ditingkatkan. Ini adalah front terbaru dalam ketertemuan online, dan sebagian besar pesaing Anda belum mengawasinya — justru karena itulah memperbaikinya sekarang adalah keunggulan. Keamanan, SEO, dan AI-search, satu pemindaian, satu laporan.

Apa yang biasanya ditemukan sebuah pemindaian?

Pemindaian pertama pada website bisnis kecil sering memunculkan beberapa masalah nyata: server web yang usang dengan CVE yang dikenal, beberapa header keamanan yang hilang, folder cadangan atau .git yang terekspos, dan konfigurasi TLS yang masih mengizinkan protokol lama. Setiap temuan disertai tingkat keparahannya, host dan port yang terdampak, serta perbaikan dalam bahasa yang jelas. Anda dapat mengekspor seluruh penilaian sebagai laporan PDF bermerek atau DOC yang dapat diedit — siap untuk auditor, klien, atau insinyur Anda sendiri untuk ditangani. Yang terpenting, temuan diperingkat berdasarkan risiko dunia nyata alih-alih dibuang sebagai daftar tak terbedakan, sehingga Anda menghabiskan waktu pada satu atau dua masalah yang benar-benar akan digunakan penyerang, bukan ratusan catatan berprioritas rendah.

Apakah pemindaian aman dan tidak mengganggu?

Vulny dibangun agar non-destruktif: ia mengidentifikasi dan memverifikasi kelemahan tanpa mengeksploitasinya, menghapus data, atau membuat layanan offline. Pemindaian sadar laju sehingga tidak membebani server Anda, dan Anda hanya boleh memindai aset yang Anda miliki atau berwenang menguji — Vulny memverifikasi kepemilikan domain sebelum pemindaian pertama atas target baru mana pun. Hal itu membuatnya aman untuk dijalankan terus-menerus di latar belakang alih-alih hanya selama jendela pemeliharaan terjadwal. Anda mendapatkan kedalaman pengujian yang sama seperti yang akan dicoba penyerang, tetapi tanpa risiko terhadap ketersediaan atau integritas data yang akan ditimbulkan oleh intrusi nyata — atau pemindai yang ceroboh — itulah yang membuat pemindaian selalu aktif menjadi praktis alih-alih sebuah acara setahun sekali.

Lihat hasilnya di situs Anda sendiri

Jalankan satu pemindaian untuk keamanan, SEO, dan AI-search (GEO) — dan dapatkan laporan PDF bermerek yang siap untuk ISO 27001.

Pindai situs saya →