Come funziona Vulny
Vulny esegue un’unica scansione sicura e automatizzata che copre tre cose insieme: sicurezza, SEO e ricerca con IA (GEO). Inserisci un indirizzo di un sito web di tua proprietà e Vulny lo testa così come farebbero rispettivamente un attaccante, un motore di ricerca e un assistente IA — poi restituisce risultati prioritari con una correzione in linguaggio chiaro per ciascuno. Ecco cosa accade in ogni fase.
Come funziona una scansione delle vulnerabilità esterna?
Una scansione esterna osserva i tuoi sistemi dalla rete Internet pubblica, esattamente come farebbe un attaccante prima di introdursi. Vulny individua i tuoi host esposti su Internet, trova ogni porta aperta e identifica il servizio e la versione dietro ciascuna — server web, server di posta, database, servizi di accesso remoto e altro. Quindi confronta ogni servizio con vulnerabilità note, così da farti vedere ciò che un esterno potrebbe raggiungere e sfruttare. Non vengono installati credenziali o agenti: la scansione viene eseguita interamente dall’esterno, motivo per cui puoi avviarne una in pochi minuti su qualsiasi dominio o IP di tua proprietà. Questa vista dall’esterno verso l’interno è quella che conta di più, perché è esattamente la superficie che gli attaccanti sondano per prima — ogni servizio esposto, incluso il sottodominio dimenticato o la macchina di staging che nessuno ricordava fosse ancora attiva.
Cosa verifica lo scanner di applicazioni web?
Ogni servizio web che Vulny trova viene testato per i problemi che più spesso portano a una violazione. Ciò include le categorie del OWASP Top 10 — injection, controllo degli accessi non funzionante, configurazione di sicurezza errata e altro — oltre a file sensibili esposti come backup, directory .git e file di configurazione o di ambiente, intestazioni di sicurezza mancanti o deboli e pagine predefinite che non dovrebbero mai essere pubbliche. I modelli di rilevamento vengono aggiornati di continuo, quindi lo scanner continua a verificare le vulnerabilità web appena divulgate, e non solo un elenco fisso del giorno in cui è stato rilasciato. Ogni risultato torna con la sua gravità, l’URL interessato e una correzione in linguaggio chiaro, così che uno sviluppatore possa riprodurlo e risolverlo senza bisogno di uno specialista della sicurezza. I test sono non distruttivi: Vulny conferma che una debolezza esiste senza sfruttarla né alterare i tuoi dati.
Cos’è la scansione shadow-API?
Le shadow-API sono endpoint che esistono ma non sono nella tua documentazione — vecchie versioni, route di amministrazione dimenticate o servizi che un team ha rilasciato senza dirlo a nessuno. Sono un bersaglio prediletto perché nessuno le sorveglia. Vulny esegue il crawling della tua applicazione per scoprire sia gli endpoint API documentati sia quelli non documentati, poi li sottopone in sicurezza a fuzzing alla ricerca di falle di autenticazione e autorizzazione e di bug di injection, inclusi SSRF, LFI, SSTI e path traversal. Il risultato è una mappa della tua vera superficie API — incluse le parti che avevi dimenticato di avere — e di dove ciascuna è debole. Questo conta sempre di più ogni anno, perché gli attaccanti violano sempre più le aziende attraverso le API anziché tramite il sito web front-end, e non puoi difendere un endpoint di cui ignori l’esistenza.
Come verifica Vulny la tua configurazione TLS / SSL?
Vulny ispeziona la configurazione dei certificati e della cifratura di ogni servizio che utilizza TLS. Segnala i certificati scaduti, autofirmati o emessi da un’autorità non attendibile, nonché le configurazioni che consentono ancora versioni di protocollo obsolete o cifrari deboli verso cui un attaccante potrebbe effettuare un downgrade. Una configurazione TLS debole mina silenziosamente tutto il resto, perciò questi controlli vengono eseguiti su ogni porta cifrata — non solo sul tuo sito web principale — e ti dicono esattamente cosa cambiare. Un TLS scadente raramente produce un errore evidente, motivo per cui passa inosservato per anni: il sito si carica ancora e il lucchetto compare ancora, ma la connessione può essere intercettata o sottoposta a downgrade. Vulny porta alla luce queste debolezze silenziose indicando il certificato, il protocollo o il cifrario specifico da correggere.
Come associa Vulny le vulnerabilità ai CVE?
Una volta che Vulny conosce il software e le versioni che esegui, le confronta con un database di rilevamento di 357,755+ test di vulnerabilità. Ogni corrispondenza viene arricchita con la sua gravità CVSS, con l’eventuale presenza nell’elenco CISA KEV delle vulnerabilità note per essere sfruttate in the wild, con la sua probabilità di exploit EPSS e con eventuale codice di exploit pubblico. Questo contesto trasforma un elenco lungo in uno breve: invece di mille problemi teorici, ottieni la manciata che è davvero pericolosa per te, classificata per prima. Il database si aggiorna ogni due ore, così vieni ricontrollato contro CVE nuovissimi lo stesso giorno in cui vengono divulgati. Poiché l’associazione usa le versioni precise che Vulny ha identificato, evita i falsi positivi che affliggono gli scanner generici, i quali segnalano un CVE su ogni host che esegue all’incirca il prodotto giusto a prescindere dalla versione.
Come funziona l’audit SEO?
Nella stessa passata, Vulny verifica quanto le tue pagine siano pronte a posizionarsi su Google. Carica ogni pagina così come fa un motore di ricerca ed esamina i segnali che decidono la visibilità — da quanto la pagina sia scansionabile e veloce a quanto chiaramente dica a Google di cosa tratta. Ottieni un unico punteggio SEO con i problemi specifici che ti frenano e una correzione in linguaggio chiaro per ciascuno, così da scalare le classifiche senza assumere un’agenzia SEO. Il punto è semplice: il sito web più sicuro al mondo fallisce comunque se i clienti non lo trovano su Google, quindi sicurezza e reperibilità appartengono a un’unica scansione, non a due strumenti.
Come funziona l’audit della ricerca con IA (GEO)?
Gli acquirenti chiedono sempre più spesso consigli a ChatGPT, Perplexity e all’IA di Google anziché scorrere una pagina di risultati — e quei motori citano solo le pagine che possono leggere e di cui si fidano. L’audit GEO (Generative Engine Optimisation) di Vulny verifica se il tuo sito è visibile e citabile dagli assistenti IA, poi valuta la probabilità che tu venga citato e ti dice cosa migliorare. Questo è il fronte più recente per essere trovati online, e la maggior parte dei tuoi concorrenti non lo sta ancora monitorando — ed è proprio per questo che è un vantaggio intervenire ora. Sicurezza, SEO e ricerca con IA, un’unica scansione, un unico report.
Cosa trova una scansione tipica?
Una prima scansione del sito web di una piccola impresa fa spesso emergere una manciata di problemi reali: un server web non aggiornato con un CVE noto, un paio di intestazioni di sicurezza mancanti, una cartella di backup o .git esposta e una configurazione TLS che consente ancora un vecchio protocollo. Ogni risultato è accompagnato dalla sua gravità, dall’host e dalla porta interessati e da una correzione in linguaggio chiaro. Puoi esportare l’intera valutazione come report PDF personalizzato o DOC modificabile — pronto per un auditor, un cliente o i tuoi stessi ingegneri. Cosa cruciale, i risultati sono classificati per rischio reale anziché riversati in un elenco indifferenziato, così da dedicare il tuo tempo ai uno o due problemi che un attaccante userebbe davvero, e non a cento note a bassa priorità.
La scansione è sicura e non invasiva?
Vulny è progettato per essere non distruttivo: identifica e verifica le debolezze senza sfruttarle, eliminare dati o mettere offline i servizi. Le scansioni tengono conto del ritmo per non sovraccaricare i tuoi server, e puoi scansionare solo gli asset di tua proprietà o che sei autorizzato a testare — Vulny verifica la proprietà del dominio prima della prima scansione di ogni nuovo obiettivo. Ciò le rende sicure da eseguire di continuo in background anziché solo durante una finestra di manutenzione pianificata. Ottieni la stessa profondità di test che tenterebbe un attaccante, ma senza il rischio per la disponibilità o l’integrità dei dati che un’intrusione reale — o uno scanner avventato — comporterebbe, ed è questo che rende la scansione sempre attiva praticabile anziché un evento annuale.
Provalo sul tuo sito
Esegui una scansione per sicurezza, SEO e ricerca con IA (GEO) — e ottieni un report PDF personalizzato, pronto per l’ISO 27001.
Scansiona il mio sito →