Vef- & API-öryggi
Umfram netlagið prófar Vulny vefforritin þín og API fyrir vandamálin sem leiða til raunverulegra öryggisbrota.
Fyrir hvað prófar vefforritaskanni Vulny?
Vefforritaskanni Vulny prófar vefsvæðin þín fyrir veikleikana sem oftast verða að raunverulegum öryggisbrotum. Hann kannar á öruggan hátt hverja vefþjónustu sem hann finnur fyrir OWASP Top 10-flokka — injection, cross-site scripting (XSS), brotna aðgangsstýringu og öryggisrangstillingar — ásamt opnum viðkvæmum skrám eins og afritum, .git-möppum og umhverfisskrám, vantandi eða veikum öryggishausum, sjálfgefnum síðum sem ættu aldrei að vera opinberar, og veikri TLS-stillingu. Greiningarsniðmát eru uppfærð jafnt og þétt, þannig að skanninn heldur áfram að athuga með nýbirta vefveikleika frekar en fastan lista frá deginum sem hann var gefinn út. Hvert vandamál kemur til baka með alvarleika sínum, viðkomandi vefslóð og lausn á einföldu máli, þannig að þróunaraðilar þínir geta endurgert það og lokað því án sérhæfðrar öryggisþekkingar. Skönnun er ekki eyðileggjandi — Vulny staðfestir að veikleiki sé til án þess að nýta hann eða breyta gögnunum þínum.
Hvað er shadow-API-uppgötvun og hvers vegna skiptir hún máli?
Shadow-API eru endapunktar sem eru til en eru ekki í skjölunum þínum — gamlar API-útgáfur, gleymdar stjórnandaleiðir eða þjónustur sem teymi gaf út án þess að segja neinum frá því. Þeir eru eftirlætis skotmark einmitt vegna þess að enginn vaktar þá. Vulny skríður um forritið þitt til að kortleggja bæði skráða og óskráða API-endapunkta, og loftar síðan á öruggan hátt yfir hvern og einn fyrir auðkenningar- og heimildargöllum og injection-villum, þar á meðal SSRF, LFI, SSTI og path traversal. Niðurstaðan er kort af raunverulegu API-yfirborði þínu — þar á meðal þeim hlutum sem þú varst búinn að gleyma — og nákvæmlega hvar hver endapunktur er veikur. Þar sem nútíma öryggisbrot eiga sér í auknum mæli stað gegnum API frekar en framendann, er það hálf orrustan að þekkja sanna API-skrá þína: þú getur ekki varið endapunkt sem þú veist ekki að sé til. Niðurstöður eru settar í forgang eftir raunverulegri áhættu þannig að hættulegustu birtingarnar rísi efst.
Er öruggt að keyra vef- og API-skönnun?
Já — vef- og API-skönnun Vulny er ekki eyðileggjandi í hönnun. Hún greinir og staðfestir veikleika án þess að nýta þá, eyða gögnum eða taka þjónustur þínar úr sambandi, og skannanir eru hraðameðvitaðar svo þær ofhlaða ekki netþjóna þína. Það gerir öruggt að keyra hana stöðugt gegn framleiðslu frekar en aðeins innan viðhaldsglugga. Þú mátt aðeins skanna eignir sem þú átt eða ert sérstaklega heimilað að prófa; með því að ræsa skönnun staðfestir þú þá heimild, og Vulny sannprófar eignarhald á léni fyrir fyrstu skönnun á hverju nýju skotmarki. Þetta heldur skannanum bæði lagalega og rekstrarlega öruggum: þú færð sömu prófunardýpt og árásaraðili myndi reyna, en án nokkurrar þeirrar áhættu fyrir aðgengi eða gagnaheilleika sem raunveruleg árás — eða kærulaus skanni — myndi hafa í för með sér.
Sjáðu það á þínu eigin vefsvæði
Keyrðu eina skönnun fyrir öryggi, SEO og gervigreindarleit (GEO) — og fáðu vörumerkta, ISO 27001-tilbúna PDF-skýrslu.
Skanna vefsvæðið mitt →