Vulny nasıl çalışır
Vulny, aynı anda üç şeyi kapsayan tek, güvenli, otomatik bir tarama çalıştırır: güvenlik, SEO ve AI-search (GEO). Sahip olduğunuz bir web sitesi adresini girersiniz ve Vulny onu bir saldırganın, bir arama motorunun ve bir AI asistanının yapacağı şekilde test eder — ardından her biri için sade dilde bir düzeltme içeren önceliklendirilmiş bulgular döndürür. Her aşamada ne olduğu burada.
Harici bir güvenlik açığı taraması nasıl çalışır?
Harici bir tarama, sistemlerinize tam olarak bir saldırganın içeri girmeden önce yapacağı gibi, herkese açık internetten bakar. Vulny, internete bakan ana makinelerinizi keşfeder, her açık portu bulur ve her birinin arkasındaki hizmeti ve sürümü tespit eder — web sunucuları, posta sunucuları, veritabanları, uzaktan erişim hizmetleri ve daha fazlası. Ardından her hizmeti bilinen güvenlik açıklarıyla eşleştirir, böylece bir dış kişinin neye erişip istismar edebileceğini görürsünüz. Hiçbir kimlik bilgisi veya ajan kurulmaz: tarama tamamen dışarıdan çalışır, bu yüzden sahip olduğunuz herhangi bir alan adı veya IP üzerinde dakikalar içinde başlatabilirsiniz. Bu dıştan içe görünüm en önemli olanıdır, çünkü tam olarak saldırganların ilk önce araştırdığı yüzeydir — kimsenin hâlâ yayında olduğunu hatırlamadığı unutulmuş alt alan adı veya hazırlık sunucusu dahil her açık hizmet.
Web uygulaması tarayıcısı neyi kontrol eder?
Vulny’nin bulduğu her web hizmeti, çoğunlukla bir ihlale yol açan sorunlar için test edilir. Bu, OWASP Top 10 sınıflarını — enjeksiyon, bozuk erişim kontrolü, güvenlik yanlış yapılandırması ve daha fazlasını — artı yedekler, .git dizinleri ve yapılandırma veya ortam dosyaları gibi açıkta kalan hassas dosyaları, eksik veya zayıf güvenlik başlıklarını ve asla herkese açık olmaması gereken varsayılan sayfaları içerir. Tespit şablonları sürekli güncellenir, böylece tarayıcı yalnızca gönderildiği günden kalma sabit bir liste değil, yeni yayınlanan web zafiyetlerini de kontrol etmeye devam eder. Her bulgu; önem derecesi, etkilenen URL ve sade dilde bir düzeltme ile geri gelir, böylece bir geliştirici bir güvenlik uzmanına ihtiyaç duymadan onu yeniden üretip kapatabilir. Testler tahribatsızdır: Vulny, bir zafiyetin var olduğunu onu istismar etmeden veya verilerinizi değiştirmeden doğrular.
Shadow-API taraması nedir?
Shadow API’ler var olan ancak dokümantasyonunuzda bulunmayan uç noktalardır — eski sürümler, unutulmuş yönetici rotaları veya bir ekibin kimseye söylemeden gönderdiği hizmetler. Kimse onları izlemediği için favori bir hedeftirler. Vulny, hem dokümante edilmiş hem de dokümante edilmemiş API uç noktalarını keşfetmek için uygulamanızı tarar, ardından bunları SSRF, LFI, SSTI ve dizin geçişi dahil kimlik doğrulama ve yetkilendirme kusurları ile enjeksiyon hataları için güvenli bir şekilde fuzz’lar. Sonuç, gerçek API yüzeyinizin bir haritasıdır — sahip olduğunuzu unuttuğunuz kısımlar dahil — ve her birinin nerede zayıf olduğudur. Bu her yıl daha da önem kazanıyor, çünkü saldırganlar giderek ön yüz web sitesi yerine API’ler aracılığıyla şirketleri ihlal ediyor ve var olduğunu bilmediğiniz bir uç noktayı savunamazsınız.
Vulny TLS / SSL yapılandırmanızı nasıl kontrol eder?
Vulny, TLS kullanan her hizmetteki sertifika ve şifreleme kurulumunu inceler. Süresi dolmuş, kendinden imzalı veya güvenilmeyen bir otorite tarafından verilmiş sertifikaları ve bir saldırganın indirgeyebileceği kullanımdan kaldırılmış protokol sürümlerine veya zayıf şifrelere hâlâ izin veren yapılandırmaları işaretler. Zayıf bir TLS kurulumu diğer her şeyi sessizce baltalar, bu yüzden bu kontroller yalnızca ana web sitenizde değil her şifreli portta çalışır — ve size tam olarak neyi değiştireceğinizi söyler. Kötü TLS nadiren bariz bir hata verir, bu yüzden yıllarca fark edilmez: site hâlâ yüklenir ve kilit simgesi hâlâ görünür, ancak bağlantı ele geçirilebilir veya indirgenebilir. Vulny, düzeltilecek belirli sertifika, protokol veya şifre ile bu sessiz zayıflıkları gün yüzüne çıkarır.
Vulny güvenlik açıklarını CVE’lerle nasıl eşleştirir?
Vulny, çalıştırdığınız yazılımı ve sürümleri öğrendikten sonra, bunları 357,755+ güvenlik açığı testinden oluşan bir tespit veritabanıyla eşleştirir. Her eşleşme; CVSS önem derecesi, doğada istismar edildiği bilinen güvenlik açıklarına ilişkin CISA KEV listesinde olup olmadığı, EPSS istismar olasılığı ve herhangi bir herkese açık istismar kodu ile zenginleştirilir. Bu bağlam, uzun bir listeyi kısa bir listeye dönüştüren şeydir: bin teorik sorun yerine, sizin için gerçekten tehlikeli olan, ilk sıraya konan birkaç tanesini alırsınız. Veritabanı her iki saatte bir yenilenir, böylece açıklandıkları gün yepyeni CVE’lere karşı yeniden kontrol edilirsiniz. Eşleştirme, Vulny’nin tespit ettiği kesin sürümleri kullandığından, sürüme bakılmaksızın yaklaşık olarak doğru ürünü çalıştıran her ana makinede bir CVE işaretleyen genel tarayıcıları rahatsız eden yanlış pozitiflerden kaçınır.
SEO denetimi nasıl çalışır?
Aynı geçişte Vulny, sayfalarınızın Google’da sıralanmaya ne kadar hazır olduğunu kontrol eder. Her sayfayı bir arama motorunun yaptığı gibi yükler ve görünürlüğü belirleyen sinyalleri inceler — sayfanın ne kadar taranabilir ve hızlı olduğundan, Google’a ne hakkında olduğunu ne kadar net anlattığına kadar. Sizi geri tutan belirli sorunlar ve her biri için sade dilde bir düzeltme içeren tek bir SEO puanı alırsınız, böylece bir SEO ajansı tutmadan sıralamaları tırmanabilirsiniz. Mesele basit: dünyanın en güvenli web sitesi bile müşteriler onu Google’da bulamazsa başarısız olur, bu yüzden güvenlik ve bulunabilirlik iki araçta değil tek taramada olmalıdır.
AI-search (GEO) denetimi nasıl çalışır?
Alıcılar, bir sonuç sayfasını kaydırmak yerine giderek ChatGPT, Perplexity ve Google’ın AI’sından öneriler istiyor — ve bu motorlar yalnızca okuyabildikleri ve güvendikleri sayfalardan alıntı yapar. Vulny’nin GEO (Generative Engine Optimisation) denetimi, sitenizin AI asistanlarına görünür ve alıntılanabilir olup olmadığını kontrol eder, ardından kaynak gösterilme olasılığınızı puanlar ve neyi iyileştireceğinizi söyler. Bu, çevrimiçi bulunmanın en yeni cephesidir ve rakiplerinizin çoğu henüz onu izlemiyor — tam da bu yüzden şimdi düzeltmek bir avantajdır. Güvenlik, SEO ve AI-search, tek tarama, tek rapor.
Tipik bir tarama ne bulur?
Küçük bir işletme web sitesinin ilk taraması genellikle birkaç gerçek sorunu gün yüzüne çıkarır: bilinen bir CVE’ye sahip güncel olmayan bir web sunucusu, eksik birkaç güvenlik başlığı, açıkta kalmış bir yedek veya .git klasörü ve hâlâ eski bir protokole izin veren bir TLS yapılandırması. Her bulgu; önem derecesi, etkilenen ana makine ve port ve sade dilde bir düzeltme ile gelir. Tüm değerlendirmeyi markalı bir PDF veya düzenlenebilir bir DOC rapor olarak dışa aktarabilirsiniz — bir denetçi, bir müşteri veya kendi mühendisleriniz için üzerinde çalışmaya hazır. En önemlisi, bulgular ayrım gözetmeyen bir liste olarak yığılmak yerine gerçek dünyadaki riske göre sıralanır, böylece zamanınızı yüz düşük öncelikli notla değil, bir saldırganın gerçekten kullanacağı bir veya iki sorunla geçirirsiniz.
Tarama güvenli ve kesintisiz mi?
Vulny tahribatsız olacak şekilde tasarlanmıştır: zafiyetleri istismar etmeden, verileri silmeden veya hizmetleri çevrimdışı bırakmadan tespit eder ve doğrular. Taramalar hız duyarlıdır, böylece sunucularınızı aşırı yüklemezler ve yalnızca sahip olduğunuz veya test etmeye yetkili olduğunuz varlıkları tarayabilirsiniz — Vulny, herhangi bir yeni hedefin ilk taramasından önce alan adı sahipliğini doğrular. Bu, onu yalnızca planlanmış bir bakım penceresinde değil, arka planda sürekli çalıştırmayı güvenli kılar. Bir saldırganın deneyeceği aynı derinlikte test alırsınız, ancak gerçek bir izinsiz girişin — veya dikkatsiz bir tarayıcının — taşıyacağı erişilebilirlik veya veri bütünlüğü riski olmadan, ki bu da her zaman açık taramayı yılda bir kez gerçekleşen bir olay yerine pratik kılan şeydir.
Kendi sitenizde görün
Güvenlik, SEO ve AI-search (GEO) için tek bir tarama çalıştırın — ve markalı, ISO 27001’e hazır bir PDF rapor alın.
Sitemi tara →