Vulny

Segurança web & API

Para além da camada de rede, a Vulny testa as suas aplicações web e API em busca dos problemas que conduzem a violações reais.

O que testa o scanner de aplicações web da Vulny?

O scanner de aplicações web da Vulny testa os seus sites em busca das fraquezas que mais frequentemente se transformam em violações reais. Sonda de forma segura cada serviço web que encontra em busca das classes do OWASP Top 10 — injeção, cross-site scripting (XSS), controlo de acesso deficiente e configuração de segurança incorreta — a par de ficheiros sensíveis expostos como cópias de segurança, diretórios .git e ficheiros de ambiente, cabeçalhos de segurança ausentes ou fracos, páginas predefinidas que nunca deveriam ser públicas e configuração TLS fraca. Os modelos de deteção são atualizados continuamente, pelo que o scanner continua a verificar fraquezas web recém-divulgadas em vez de uma lista fixa do dia em que foi lançado. Cada problema regressa com a sua gravidade, o URL afetado e uma correção em linguagem simples, para que os seus programadores o possam reproduzir e fechar sem conhecimentos especializados de segurança. A análise é não destrutiva — a Vulny verifica que uma fraqueza existe sem a explorar nem alterar os seus dados.

O que é a descoberta de Shadow-API e por que importa?

As Shadow-API são endpoints que existem mas não constam da sua documentação — versões antigas de API, rotas de administração esquecidas ou serviços que uma equipa lançou sem avisar ninguém. São um alvo predileto precisamente porque ninguém os monitoriza. A Vulny faz o crawling da sua aplicação para mapear tanto os endpoints de API documentados como os não documentados, e depois faz fuzzing de forma segura sobre cada um em busca de falhas de autenticação e autorização e de bugs de injeção, incluindo SSRF, LFI, SSTI e o path traversal. O resultado é um mapa da sua verdadeira superfície de API — incluindo as partes que tinha esquecido — e exatamente onde cada endpoint é fraco. Como as violações modernas ocorrem cada vez mais através das API em vez do front-end, conhecer o seu verdadeiro inventário de API é metade da batalha: não se pode proteger um endpoint cuja existência se desconhece. As deteções são priorizadas pelo risco real para que as exposições mais perigosas subam ao topo.

É seguro executar a análise web e de API?

Sim — a análise web e de API da Vulny é não destrutiva por conceção. Identifica e confirma fraquezas sem as explorar, sem apagar dados nem colocar os seus serviços offline, e as análises têm em conta o ritmo para não sobrecarregar os seus servidores. Isso torna-a segura para executar continuamente contra a produção em vez de apenas dentro de uma janela de manutenção. Só pode analisar ativos que lhe pertençam ou para cujo teste esteja expressamente autorizado; ao iniciar uma análise confirma essa autorização, e a Vulny verifica a propriedade do domínio antes da primeira análise de qualquer novo alvo. Isto mantém o scanner seguro tanto no plano legal como no operacional: obtém a mesma profundidade de teste que um atacante tentaria, mas sem nenhum dos riscos para a disponibilidade ou a integridade dos dados que um ataque real — ou um scanner descuidado — acarretaria.

Veja no seu próprio site

Execute uma verificação para segurança, SEO e AI-search (GEO) — e receba um relatório PDF com a sua marca, pronto para a ISO 27001.

Verificar meu site →