Como o Vulny funciona
O Vulny executa uma verificação segura e automatizada que cobre três coisas ao mesmo tempo: segurança, SEO e AI-search (GEO). Insere um endereço de site que possui e o Vulny testa-o tal como um atacante, um motor de pesquisa e um assistente de AI o fariam — e depois devolve descobertas priorizadas com uma correção em linguagem clara para cada uma. Eis o que acontece em cada etapa.
Como funciona uma verificação externa de vulnerabilidades?
Uma verificação externa olha para os seus sistemas a partir da internet pública, exatamente como um atacante faria antes de invadir. O Vulny descobre os seus hosts expostos à internet, encontra cada porta aberta e faz o fingerprint do serviço e da versão por trás de cada uma — servidores web, servidores de mail, bases de dados, serviços de acesso remoto e mais. Depois confronta cada serviço com vulnerabilidades conhecidas, para que veja o que um intruso poderia alcançar e explorar. Não são instaladas credenciais nem agentes: a verificação corre inteiramente a partir do exterior, e é por isso que pode iniciar uma em minutos em qualquer domínio ou IP que possua. Esta visão de fora para dentro é a que mais importa, porque é exatamente a superfície que os atacantes sondam primeiro — cada serviço exposto, incluindo o subdomínio esquecido ou a máquina de staging que ninguém se lembrava de que ainda estava ativa.
O que verifica o scanner de aplicações web?
Cada serviço web que o Vulny encontra é testado para os problemas que mais frequentemente conduzem a uma falha de segurança. Isso inclui as classes do OWASP Top 10 — injeção, controlo de acesso quebrado, configuração de segurança incorreta e mais — além de ficheiros sensíveis expostos como backups, diretórios .git e ficheiros de configuração ou de ambiente, cabeçalhos de segurança em falta ou fracos e páginas predefinidas que nunca deveriam ser públicas. Os templates de deteção são atualizados continuamente, pelo que o scanner continua a verificar fraquezas web recém-publicadas, e não apenas uma lista fixa do dia em que foi lançado. Cada descoberta regressa com a sua severidade, o URL afetado e uma correção em linguagem clara, para que um developer a possa reproduzir e resolver sem precisar de um especialista em segurança. Os testes são não destrutivos: o Vulny confirma que existe uma fraqueza sem a explorar nem alterar os seus dados.
O que é o scanning de shadow-API?
As shadow APIs são endpoints que existem mas não estão na sua documentação — versões antigas, rotas de administração esquecidas ou serviços que uma equipa lançou sem avisar ninguém. São um alvo predileto porque ninguém os vigia. O Vulny rastreia a sua aplicação para descobrir endpoints de API documentados e não documentados, e depois faz fuzzing seguro à procura de falhas de autenticação e autorização e de bugs de injeção, incluindo SSRF, LFI, SSTI e path traversal. O resultado é um mapa da sua verdadeira superfície de API — incluindo as partes que se esqueceu de que tinha — e onde cada uma está fraca. Isto importa cada vez mais, porque os atacantes invadem cada vez mais empresas através das APIs em vez do site front-end, e não pode defender um endpoint que não sabe que existe.
Como verifica o Vulny a sua configuração TLS / SSL?
O Vulny inspeciona o certificado e a configuração de encriptação em cada serviço que usa TLS. Sinaliza certificados expirados, autoassinados ou emitidos por uma autoridade não confiável, e configurações que ainda permitem versões de protocolo obsoletas ou cifras fracas para as quais um atacante poderia fazer downgrade. Uma configuração TLS fraca mina silenciosamente tudo o resto, pelo que estas verificações correm em cada porta encriptada — não apenas no seu site principal — e dizem-lhe exatamente o que mudar. Um TLS mau raramente lança um erro óbvio, e é por isso que passa despercebido durante anos: o site continua a carregar e o cadeado continua a aparecer, mas a ligação pode ser intercetada ou sofrer downgrade. O Vulny revela essas fraquezas silenciosas com o certificado, protocolo ou cifra específicos a corrigir.
Como faz o Vulny a correspondência de vulnerabilidades a CVEs?
Assim que o Vulny conhece o software e as versões que executa, faz a correspondência com uma base de dados de deteção de 357,755+ testes de vulnerabilidade. Cada correspondência é enriquecida com a sua severidade CVSS, com a indicação de estar na lista CISA KEV de vulnerabilidades conhecidas por serem exploradas no mundo real, com a sua probabilidade de exploração EPSS e com qualquer código de exploração público. Esse contexto é o que transforma uma lista longa numa curta: em vez de mil questões teóricas, recebe o punhado que é genuinamente perigoso para si, ordenado em primeiro lugar. A base de dados é atualizada de duas em duas horas, pelo que é reverificado contra CVEs totalmente novos no mesmo dia em que são divulgados. Como a correspondência usa as versões precisas que o Vulny fez fingerprint, evita os falsos positivos que afetam os scanners genéricos, que sinalizam um CVE em cada host que executa aproximadamente o produto certo, independentemente da versão.
Como funciona a auditoria de SEO?
Na mesma passagem, o Vulny verifica quão prontas estão as suas páginas para posicionar no Google. Carrega cada página da forma que um motor de pesquisa o faz e analisa os sinais que decidem a visibilidade — desde quão rastreável e rápida é a página até quão claramente diz ao Google sobre o que é. Obtém uma única pontuação de SEO com as questões específicas que o estão a travar e uma correção em linguagem clara para cada uma, para que possa subir nas classificações sem contratar uma agência de SEO. A ideia é simples: o site mais seguro do mundo continua a falhar se os clientes não o encontrarem no Google, por isso a segurança e a descoberta pertencem a uma só verificação, não a duas ferramentas.
Como funciona a auditoria de AI-search (GEO)?
Os compradores recorrem cada vez mais ao ChatGPT, à Perplexity e à AI do Google em busca de recomendações, em vez de percorrerem uma página de resultados — e esses motores só citam páginas que conseguem ler e em que confiam. A auditoria GEO (Generative Engine Optimisation) do Vulny verifica se o seu site está visível e citável para os assistentes de AI, depois pontua a probabilidade de ser citado e diz-lhe o que melhorar. Esta é a frente mais recente de ser encontrado online, e a maioria dos seus concorrentes ainda não a está a vigiar — e é exatamente por isso que corrigi-la agora é uma vantagem. Segurança, SEO e AI-search, uma verificação, um relatório.
O que encontra uma verificação típica?
Uma primeira verificação do site de uma pequena empresa revela frequentemente um punhado de questões reais: um servidor web desatualizado com um CVE conhecido, um par de cabeçalhos de segurança em falta, uma pasta de backup ou .git exposta e uma configuração TLS que ainda permite um protocolo antigo. Cada descoberta vem com a sua severidade, o host e a porta afetados e uma correção em linguagem clara. Pode exportar toda a avaliação como um relatório PDF com a sua marca ou um DOC editável — pronto para um auditor, um cliente ou os seus próprios engenheiros analisarem. Crucialmente, as descobertas são ordenadas por risco real em vez de despejadas numa lista indiferenciada, para que passe o seu tempo nas uma ou duas questões que um atacante usaria de facto, e não em cem notas de baixa prioridade.
O scanning é seguro e não disruptivo?
O Vulny foi construído para ser não destrutivo: identifica e verifica fraquezas sem as explorar, apagar dados ou colocar serviços offline. As verificações têm consciência de ritmo para não sobrecarregarem os seus servidores, e só pode verificar ativos que possui ou está autorizado a testar — o Vulny verifica a propriedade do domínio antes da primeira verificação de qualquer novo alvo. Isso torna-o seguro para correr continuamente em segundo plano, em vez de apenas durante uma janela de manutenção agendada. Obtém a mesma profundidade de teste que um atacante tentaria, mas sem o risco para a disponibilidade ou integridade dos dados que uma intrusão real — ou um scanner imprudente — acarretaria, e é isso que torna o scanning permanente prático em vez de um evento anual.
Veja no seu próprio site
Execute uma verificação para segurança, SEO e AI-search (GEO) — e receba um relatório PDF com a sua marca, pronto para a ISO 27001.
Verificar meu site →