Hoe Vulny werkt
Vulny voert één veilige, geautomatiseerde scan uit die drie dingen tegelijk dekt: beveiliging, SEO en AI-search (GEO). Je voert een websiteadres in dat je bezit, en Vulny test het zoals een aanvaller, een zoekmachine en een AI-assistent dat elk zouden doen — en levert vervolgens geprioriteerde bevindingen met voor elk een oplossing in begrijpelijke taal. Dit is wat er in elke fase gebeurt.
Hoe werkt een externe kwetsbaarheidsscan?
Een externe scan bekijkt je systemen vanaf het publieke internet, precies zoals een aanvaller dat zou doen voordat hij inbreekt. Vulny ontdekt je op het internet zichtbare hosts, vindt elke open poort en maakt een fingerprint van de service en versie achter elk daarvan — webservers, mailservers, databases, remote-access-services en meer. Vervolgens vergelijkt het elke service met bekende kwetsbaarheden, zodat je ziet wat een buitenstaander kan bereiken en uitbuiten. Er worden geen credentials of agents geïnstalleerd: de scan draait volledig van buitenaf, en daarom kun je er binnen enkele minuten een starten op elk domein of IP dat je bezit. Deze blik van buiten naar binnen is het belangrijkst, want het is precies het oppervlak dat aanvallers als eerste aftasten — elke blootgestelde service, inclusief het vergeten subdomein of de staging-server waarvan niemand zich herinnerde dat hij nog draaide.
Wat controleert de webapplicatiescanner?
Elke webservice die Vulny vindt, wordt getest op de problemen die het vaakst tot een inbreuk leiden. Dat omvat de OWASP Top 10-klassen — injectie, gebroken toegangscontrole, onjuiste beveiligingsconfiguratie en meer — plus blootgestelde gevoelige bestanden zoals backups, .git-mappen en config- of omgevingsbestanden, ontbrekende of zwakke beveiligingsheaders en standaardpagina's die nooit openbaar zouden mogen zijn. Detectietemplates worden continu bijgewerkt, zodat de scanner blijft controleren op nieuw bekendgemaakte webzwakheden, en niet alleen op een vaste lijst van de dag dat hij werd uitgebracht. Elke bevinding komt terug met de ernst, de getroffen URL en een oplossing in begrijpelijke taal, zodat een developer die kan reproduceren en verhelpen zonder een beveiligingsspecialist. De tests zijn niet-destructief: Vulny bevestigt dat er een zwakheid bestaat zonder die uit te buiten of je gegevens te wijzigen.
Wat is shadow-API-scanning?
Shadow API's zijn endpoints die bestaan maar niet in je documentatie staan — oude versies, vergeten adminroutes, of services die een team uitbracht zonder het iemand te vertellen. Ze zijn een geliefd doelwit omdat niemand erop let. Vulny crawlt je applicatie om zowel gedocumenteerde als niet-gedocumenteerde API-endpoints te ontdekken, en fuzzt ze vervolgens veilig op authenticatie- en autorisatiefouten en injectiebugs, waaronder SSRF, LFI, SSTI en path traversal. Het resultaat is een kaart van je werkelijke API-oppervlak — inclusief de delen waarvan je vergeten was dat je ze had — en waar elk daarvan zwak is. Dit wordt elk jaar belangrijker, omdat aanvallers steeds vaker bij bedrijven inbreken via API's in plaats van de front-endwebsite, en je kunt geen endpoint verdedigen waarvan je niet weet dat het bestaat.
Hoe controleert Vulny je TLS / SSL-configuratie?
Vulny inspecteert het certificaat en de encryptie-instellingen op elke service die TLS gebruikt. Het signaleert certificaten die verlopen, self-signed of uitgegeven door een niet-vertrouwde autoriteit zijn, en configuraties die nog verouderde protocolversies of zwakke ciphers toelaten waarnaar een aanvaller kan downgraden. Een zwakke TLS-opzet ondermijnt stilletjes al het andere, dus deze controles draaien op elke versleutelde poort — niet alleen je hoofdwebsite — en vertellen je precies wat je moet wijzigen. Slechte TLS geeft zelden een duidelijke foutmelding, en daarom blijft het jarenlang onopgemerkt: de site laadt nog steeds en het hangslot wordt nog steeds getoond, maar de verbinding kan worden onderschept of gedowngraded. Vulny brengt die stille zwakheden aan het licht met het specifieke certificaat, protocol of cipher dat moet worden hersteld.
Hoe matcht Vulny kwetsbaarheden met CVE's?
Zodra Vulny de software en versies kent die je draait, matcht het ze met een detectiedatabase van 357,755+ kwetsbaarheidstests. Elke match wordt verrijkt met de CVSS-ernst, of hij op de CISA KEV-lijst staat van kwetsbaarheden waarvan bekend is dat ze in het wild worden uitgebuit, de EPSS-kans op uitbuiting en eventuele publieke exploitcode. Die context is wat een lange lijst in een korte verandert: in plaats van duizend theoretische problemen krijg je het handjevol dat echt gevaarlijk voor je is, als eerste gerangschikt. De database wordt elke twee uur ververst, zodat je nog dezelfde dag dat ze worden bekendgemaakt opnieuw wordt gecontroleerd tegen gloednieuwe CVE's. Omdat het matchen de precieze versies gebruikt waarvan Vulny een fingerprint maakte, vermijdt het de valse positieven die generieke scanners teisteren, die een CVE signaleren op elke host die ongeveer het juiste product draait, ongeacht de versie.
Hoe werkt de SEO-audit?
In dezelfde keer controleert Vulny hoe klaar je pagina's zijn om te scoren in Google. Het laadt elke pagina zoals een zoekmachine dat doet en bekijkt de signalen die de zichtbaarheid bepalen — van hoe crawlbaar en snel de pagina is tot hoe duidelijk hij Google vertelt waar hij over gaat. Je krijgt één SEO-score met de specifieke problemen die je tegenhouden en een oplossing in begrijpelijke taal voor elk daarvan, zodat je kunt stijgen in de ranglijst zonder een SEO-bureau in te huren. Het punt is simpel: de veiligste website ter wereld faalt nog steeds als klanten hem niet kunnen vinden in Google, dus beveiliging en vindbaarheid horen in één scan thuis, niet in twee tools.
Hoe werkt de AI-search (GEO)-audit?
Kopers vragen steeds vaker ChatGPT, Perplexity en de AI van Google om aanbevelingen in plaats van door een resultatenpagina te scrollen — en die engines citeren alleen pagina's die ze kunnen lezen en vertrouwen. Vulny's GEO (Generative Engine Optimisation)-audit controleert of je site zichtbaar en citeerbaar is voor AI-assistenten, scoort vervolgens hoe waarschijnlijk het is dat je geciteerd wordt en vertelt je wat je moet verbeteren. Dit is het nieuwste front in online gevonden worden, en de meeste van je concurrenten letten er nog niet op — en juist daarom is het nu een voordeel om dit te verhelpen. Beveiliging, SEO en AI-search, één scan, één rapport.
Wat vindt een typische scan?
Een eerste scan van een website van een klein bedrijf legt vaak een handvol echte problemen bloot: een verouderde webserver met een bekende CVE, een paar ontbrekende beveiligingsheaders, een blootgestelde backup- of .git-map en een TLS-configuratie die nog steeds een oud protocol toelaat. Elke bevinding komt met de ernst, de getroffen host en poort en een oplossing in begrijpelijke taal. Je kunt de hele beoordeling exporteren als een PDF-rapport met je eigen merk of een bewerkbaar DOC-rapport — klaar voor een auditor, een klant of je eigen engineers om aan te werken. Cruciaal is dat de bevindingen worden gerangschikt op werkelijk risico in plaats van als een ongedifferentieerde lijst te worden gedumpt, zodat je je tijd besteedt aan de een of twee problemen die een aanvaller daadwerkelijk zou gebruiken, en niet aan honderd opmerkingen met lage prioriteit.
Is scannen veilig en niet-verstorend?
Vulny is gebouwd om niet-destructief te zijn: het identificeert en verifieert zwakheden zonder ze uit te buiten, gegevens te wissen of services offline te halen. Scans houden rekening met de snelheid zodat ze je servers niet overbelasten, en je mag alleen assets scannen die je bezit of die je gemachtigd bent te testen — Vulny verifieert het domeineigendom vóór de eerste scan van elk nieuw doelwit. Dat maakt het veilig om continu op de achtergrond te draaien, in plaats van alleen tijdens een geplande onderhoudsvenster. Je krijgt dezelfde testdiepte die een aanvaller zou proberen, maar zonder het risico voor de beschikbaarheid of gegevensintegriteit dat een echte inbraak — of een roekeloze scanner — met zich mee zou brengen, en dat is wat altijd-aan scannen praktisch maakt in plaats van een jaarlijkse gebeurtenis.
Zie het op uw eigen site
Voer één scan uit voor beveiliging, SEO en AI-search (GEO) — en ontvang een PDF-rapport met je eigen merk, klaar voor ISO 27001.
Scan mijn site →