Hitta sårbarheterna innan angriparna
Era webbapplikationer är en del av angreppsytan. Securapilots webbskanning testar dem automatiskt, prioriterar de viktigaste fynden och följer upp tills sårbarheten är åtgärdad.
Kontinuerlig koll på angreppsytan
Sårbarheter uppstår löpande – i kod, konfiguration och DNS. Securapilots webbskanning testar era webbapplikationer, API:er och domäner regelbundet, sorterar fynden efter allvarlighet och kopplar dem till risker och efterlevnad.
Resultatet: en löpande, prioriterad bild av era webbsårbarheter – med spårbar åtgärdshantering.
Allt skanningsarbete i en modul
Webbskanningsmodulen täcker vägen från registrerat mål till åtgärdat fynd i sex sammanhängande områden.
Skanningsmål
Ett register över de webbapplikationer, API:er och webbtjänster som ska säkerhetstestas, med inställningar per mål.
Skanningar
Automatiska säkerhetstester med branschstandardverktygen OWASP ZAP och Nuclei – schemalagda eller startade på begäran.
Fynd
Upptäckta sårbarheter sorterade efter allvarlighet (CVSS-poäng) och feltyp (CWE), med strukturerad uppföljning.
Förslag på risker
Allvarliga fynd genererar förslag på risker som kan granskas och flyttas över till Riskmodulen.
E-postsäkerhet i DNS
Granskning av domänens DNS-poster för e-post (SPF, DKIM, DMARC) – upptäcker även föråldrade och osäkra poster.
Webhooks
Skicka automatiska notifieringar till externa system när en skanning är klar, misslyckas eller hittar något kritiskt.
Så stödjer modulen ert sårbarhetsarbete
Åtta funktioner från automatisk skanning och ägarskapskontroll till sortering, dubblettfilter och AI-åtgärdsförslag.
Två skanningsmotorer
Två branschstandardverktyg används: OWASP ZAP kartlägger applikationen, Nuclei kör sårbarhetstester baserade på kända mönster.
Ägarskapskontroll
Innan aktiv skanning startar måste ni bevisa att ni äger domänen – via en DNS-post eller en fil på webbplatsen. Skyddar mot otillåten skanning.
Sortering och uppföljning av fynd
Varje fynd hanteras enligt ett tydligt flöde – falskt positivt, accepterad risk eller åtgärd. Beslut kräver motivering och loggas så de inte kan ändras i efterhand.
Inga dubbletter, återkomster spåras
Samma sårbarhet i flera skanningar grupperas automatiskt. Sårbarheter som åtgärdats och kommer tillbaka flaggas särskilt.
Prioritering efter verklig påverkan
Allvarlighetsgraden (CVSS) vägs mot hur känslig den drabbade tillgången är, så att de viktigaste fynden hamnar överst.
Förslag på risker
Allvarliga fynd genererar förifyllda förslag på risker som kan godkännas och flyttas över till Riskmodulen med ett klick.
E-postsäkerhet i DNS
Granskar domänens DNS-poster för e-post (SPF, DKIM, DMARC) och hittar konfigurationer som kan utnyttjas för spoofing eller phishing.
AI-åtgärdsförslag och trender
AI föreslår konkreta åtgärdssteg per fynd. Trendvyn visar utvecklingen över tid och genomsnittlig tid till åtgärd.
Från skanning till åtgärdat fynd
Webbskanningen följer ett tydligt arbetsflöde – från registrerat mål till verifierad åtgärd.
Lägg till mål
Registrera webbapplikationen, API:et eller domänen som ska säkerhetstestas – med inställningar för vad som får skannas.
Bekräfta ägarskap
Bevisa att ni äger det ni vill skanna – antingen via en DNS-post eller genom att lägga en fil på webbplatsen. Krävs innan aktiv skanning startar.
Skanna
Säkerhetstesterna körs automatiskt, schemalagt eller på begäran – ni kan följa förloppet i realtid.
Sortera fynden
Bedöm varje fynd: är det ett falskt positivt, en risk ni accepterar, eller något som ska åtgärdas? Beslutet motiveras och loggas.
Åtgärda och verifiera
Genomför åtgärden, skapa vid behov en risk eller NIS2-incident, och verifiera vid nästa skanning att fyndet är borta.
Vanliga frågor om webbskanning
Vilka skanningsmotorer används?
Modulen använder två motorer: OWASP ZAP för kartläggning (spider) och passiv/aktiv skanning, samt Nuclei för mallbaserad sårbarhetsdetektering med community- och egna mallar. Motorerna körs i egna containrar.
Varför måste vi verifiera ägarskap innan skanning?
Aktiv skanning skickar trafik mot målet och kräver därför bevisat ägarskap. Ni verifierar genom att publicera en token som DNS TXT-post eller som en well-known-fil på webbplatsen. Verifieringen har en giltighetstid och måste förnyas.
Hur blir ett fynd till en risk?
Fynd med tillräckligt hög CVSS-poäng genererar automatiskt en riskkandidat med föreslaget hot, sannolikhet och konsekvens. Kandidaten granskas i en kö och kan godkännas – då befordras den till en formell risk i Riskmodulen – eller avvisas med motivering.
Kan webbskanning utlösa en NIS2-incident?
Ja. För mål med incidentutlösning aktiverad skapas en NIS2-incident automatiskt när ett kritiskt fynd upptäcks. Skanningsresultat kan dessutom projiceras som bevis för efterlevnadskontroller i GAP-modulen.
Vad är skillnaden mellan webbskanning och pentest?
Webbskanning är automatiserad – OWASP ZAP och Nuclei – och körs kontinuerligt. Pentest är manuell djupdykning av en etisk hackare. Båda är viktiga: skanning fångar volym, pentest fångar logikfel.
Vad är CVSS och varför används det?
CVSS (Common Vulnerability Scoring System) är en 0–10-skala för sårbarhetsallvar. Det används för att prioritera åtgärder – kritiska CVSS 9.0+ åtgärdas typiskt inom 7 dagar.
Hur ofta bör webbplatser skannas?
Externa webbplatser och API:er minst varje vecka, helst kontinuerligt. Efter större kodändringar bör en ny skanning köras direkt.
Vad är attackyta (Attack Surface Management)?
Attackytan är summan av alla angreppspunkter: domäner, subdomäner, exponerade portar, API:er och publika tjänster. Attack Surface Management (ASM) inventerar och övervakar dessa kontinuerligt.
Få kontroll över era webbsårbarheter
Boka en demo så visar vi hur webbskanningen ger er en löpande, prioriterad bild av er attackyta.
Relaterade moduler
Bygg ett komplett ledningssystem genom att kombinera moduler som hänger ihop.