Så fungerar Vulny
Vulny kör en säker, automatiserad skanning som täcker tre saker samtidigt: säkerhet, SEO och AI-search (GEO). Du anger en webbplatsadress du äger, och Vulny testar den som en angripare, en sökmotor och en AI-assistent var och en skulle göra — och returnerar sedan prioriterade fynd med en lättförståelig åtgärd för varje. Här är vad som händer i varje steg.
Hur fungerar en extern sårbarhetsskanning?
En extern skanning ser på dina system från det publika internet, precis som en angripare skulle göra före ett intrång. Vulny upptäcker dina internetvända värdar, hittar varje öppen port och identifierar tjänsten och versionen bakom var och en — webbservrar, e-postservrar, databaser, fjärråtkomsttjänster och mer. Den jämför sedan varje tjänst med kända sårbarheter, så att du ser vad en utomstående kan nå och utnyttja. Inga inloggningsuppgifter eller agenter installeras: skanningen körs helt utifrån, vilket är anledningen till att du kan starta en på några minuter på vilken domän eller IP du än äger. Detta utifrån-och-in-perspektiv är det viktigaste, eftersom det är exakt den yta angripare undersöker först — varje exponerad tjänst, inklusive den bortglömda subdomänen eller staging-servern som ingen kom ihåg fortfarande var aktiv.
Vad kontrollerar webbapplikationsskannern?
Varje webbtjänst Vulny hittar testas för de problem som oftast leder till ett intrång. Det inkluderar OWASP Top 10-klasserna — injection, bruten åtkomstkontroll, säkerhetsfelkonfiguration och mer — plus exponerade känsliga filer såsom säkerhetskopior, .git-kataloger och konfigurations- eller miljöfiler, saknade eller svaga säkerhetsheaders och standardsidor som aldrig borde vara offentliga. Detekteringsmallar uppdateras kontinuerligt, så skannern fortsätter att kontrollera nyligen publicerade webbsvagheter, inte bara en fast lista från den dag den levererades. Varje fynd kommer tillbaka med dess allvarlighetsgrad, den berörda URL:en och en lättförståelig åtgärd, så att en utvecklare kan reproducera och åtgärda det utan att behöva en säkerhetsspecialist. Testerna är icke-destruktiva: Vulny bekräftar att en svaghet finns utan att utnyttja den eller ändra dina data.
Vad är shadow-API-skanning?
Shadow-API:er är endpoints som finns men inte är med i din dokumentation — gamla versioner, bortglömda admin-rutter eller tjänster ett team levererade utan att berätta för någon. De är ett favoritmål eftersom ingen bevakar dem. Vulny genomsöker din applikation för att upptäcka både dokumenterade och odokumenterade API-endpoints och fuzzar dem sedan säkert för autentiserings- och auktoriseringsfel och injection-buggar inklusive SSRF, LFI, SSTI och path traversal. Resultatet är en karta över din verkliga API-yta — inklusive de delar du glömt att du hade — och var var och en är svag. Detta betyder mer för varje år, eftersom angripare i allt högre grad bryter sig in i företag via API:er snarare än front-end-webbplatsen, och du kan inte försvara en endpoint du inte vet finns.
Hur kontrollerar Vulny din TLS / SSL-konfiguration?
Vulny inspekterar certifikat- och krypteringsuppsättningen på varje tjänst som använder TLS. Den flaggar certifikat som har gått ut, är självsignerade eller utfärdade av en obetrodd auktoritet, och konfigurationer som fortfarande tillåter föråldrade protokollversioner eller svaga chiffer som en angripare kan nedgradera till. En svag TLS-uppsättning undergräver tyst allt annat, så dessa kontroller körs på varje krypterad port — inte bara din huvudwebbplats — och talar om exakt vad du ska ändra. Dålig TLS ger sällan ett uppenbart fel, vilket är anledningen till att den förblir obemärkt i åratal: sajten laddas fortfarande och hänglåset visas fortfarande, men anslutningen kan avlyssnas eller nedgraderas. Vulny lyfter fram dessa tysta svagheter med det specifika certifikatet, protokollet eller chiffret som ska åtgärdas.
Hur matchar Vulny sårbarheter mot CVE:er?
När Vulny känner till programvaran och versionerna du kör, matchar den dem mot en detekteringsdatabas med 357,755+ sårbarhetstester. Varje matchning berikas med dess CVSS-allvarlighetsgrad, huruvida den finns på CISA KEV-listan över sårbarheter som är kända för att utnyttjas i det vilda, dess EPSS-sannolikhet för utnyttjande och eventuell publik exploit-kod. Den kontexten är det som förvandlar en lång lista till en kort: istället för tusen teoretiska problem får du den handfull som är verkligt farliga för dig, rangordnade först. Databasen uppdateras varannan timme, så du kontrolleras på nytt mot helt nya CVE:er samma dag de publiceras. Eftersom matchningen använder de exakta versionerna Vulny identifierat, undviker den de falska positiva som plågar generiska skannrar, som flaggar ett CVE på varje värd som kör ungefär rätt produkt oavsett version.
Hur fungerar SEO-granskningen?
I samma svep kontrollerar Vulny hur redo dina sidor är att rankas på Google. Den laddar varje sida som en sökmotor gör och granskar de signaler som avgör synlighet — från hur genomsökbar och snabb sidan är till hur tydligt den berättar för Google vad den handlar om. Du får en enda SEO-poäng med de specifika problem som håller dig tillbaka och en lättförståelig åtgärd för varje, så att du kan klättra i rankingen utan att anlita en SEO-byrå. Poängen är enkel: världens säkraste webbplats misslyckas ändå om kunderna inte kan hitta den på Google, så säkerhet och hittbarhet hör hemma i en skanning, inte två verktyg.
Hur fungerar AI-search (GEO)-granskningen?
Köpare frågar i allt högre grad ChatGPT, Perplexity och Googles AI om rekommendationer istället för att skrolla genom en resultatsida — och dessa motorer citerar bara sidor de kan läsa och lita på. Vulnys GEO (Generative Engine Optimisation)-granskning kontrollerar om din sajt är synlig och citerbar för AI-assistenter, poängsätter sedan hur sannolikt det är att du citeras och talar om vad du ska förbättra. Detta är den nyaste fronten i att bli hittad online, och de flesta av dina konkurrenter bevakar den ännu inte — vilket är precis varför det är en fördel att åtgärda nu. Säkerhet, SEO och AI-search, en skanning, en rapport.
Vad hittar en typisk skanning?
En första skanning av ett litet företags webbplats lyfter ofta fram en handfull verkliga problem: en föråldrad webbserver med ett känt CVE, ett par saknade säkerhetsheaders, en exponerad säkerhetskopia eller .git-mapp och en TLS-konfiguration som fortfarande tillåter ett gammalt protokoll. Varje fynd kommer med dess allvarlighetsgrad, den berörda värden och porten och en lättförståelig åtgärd. Du kan exportera hela bedömningen som en varumärkesanpassad PDF eller en redigerbar DOC-rapport — redo för en revisor, en kund eller dina egna ingenjörer att arbeta igenom. Avgörande är att fynden rangordnas efter verklig risk snarare än dumpas som en odifferentierad lista, så att du lägger din tid på de ett eller två problem en angripare faktiskt skulle använda, inte på hundra anteckningar med låg prioritet.
Är skanning säker och icke-störande?
Vulny är byggt för att vara icke-destruktivt: det identifierar och verifierar svagheter utan att utnyttja dem, radera data eller ta tjänster offline. Skanningar är hastighetsmedvetna så att de inte överbelastar dina servrar, och du får bara skanna tillgångar du äger eller är behörig att testa — Vulny verifierar domänägarskap före den första skanningen av varje nytt mål. Det gör det säkert att köra kontinuerligt i bakgrunden snarare än bara under ett schemalagt underhållsfönster. Du får samma testdjup som en angripare skulle försöka, men utan risken för tillgänglighet eller dataintegritet som ett verkligt intrång — eller en hänsynslös skanner — skulle medföra, vilket är vad som gör alltid-på-skanning praktisk istället för en händelse en gång om året.
Se det på din egen webbplats
Kör en skanning för säkerhet, SEO och AI-search (GEO) — och få en varumärkesanpassad PDF-rapport redo för ISO 27001.
Skanna min webbplats →