前言
Invicti 专业 Web 应用程序安全扫描器
自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞,包括可以识别各种漏洞的自动扫描程序,以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。
一些基本的安全测试应包括测试:
- SQL注入
- XSS(跨站脚本)
- DOM跨站脚本攻击
- 命令注入
- 盲命令注入
- 本地文件包含和任意文件读取
- 远程文件包含
- 远程代码注入/评估
- CRLF / HTTP 标头注入 / 响应分割
- 打开重定向
- 帧注入
- 具有管理员权限的数据库用户
- 漏洞 - 数据库(推断的漏洞)
- ViewState 未签名
- ViewState 未加密
- 网络后门
- TRACE / TRACK 方法支持已启用
- 禁用 XSS 保护
- 启用 ASP.NET 调试
- 启用 ASP.NET 跟踪
- 可访问的备份文件
- 可访问的 Apache 服务器状态和 Apache 服务器信息页面
- 可访问的隐藏资源
- 存在漏洞的 Crossdomain.xml 文件
- 易受攻击的 Robots.txt 文件
- 易受攻击的 Google 站点地图
- 应用程序源代码公开
- Silverlight 客户端访问策略文件存在漏洞
- CVS、GIT 和 SVN 信息和源代码公开
- PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
- 可访问敏感文件
- 重定向响应主体太大
- 重定向响应 BODY 有两个响应
- 通过 HTTP 使用不安全的身份验证方案
- 通过 HTTP 传输的密码
- 通过 HTTP 提供的密码表单
- 暴力破解获取认证
- 通过 HTTP 获取的基本身份验证
- 凭证薄弱
- 电子邮件地址泄露
- 内部IP泄露
- 目录列表
- 版本公开
- 内部路径泄露
- 访问被拒绝的资源
- MS Office信息披露
- 自动完成已启用
- MySQL 用户名泄露
- 默认页面安全性
- Cookie 未标记为安全
- Cookie 未标记为 HTTPOnly
- 堆栈跟踪披露
- 编程错误信息披露
- 数据库错误信息披露
更新介绍
新的安全检查为Angular添加了检测方法为Oracle EBS RCE增加了一个新的安全检查改进更新了所有IAST传感器以支持Java 17和Java 21修复修复了wp-admin漏洞检测方法的问题修复了扫描配置文件无法通过自动化工具、Postman或Invicti API文档页面创建的问题修复了扫描停留在“延迟”或“存档”状态的问题修正了当Jira URL被设置为Localhost时,Jira集成中出现的问题修正了云代理的扫描认证问题和爬行问题修复了当网站同时添加http和https协议时发生的问题扫描报告pdf文件名称现在包括时间和日期,当它是通过扫描完成通知交付修复了运行Scans_NewWithProfile端点时出现的504错误修复了一个阻止重新测试扫描启动的错误修正了扫描数据从企业版导入到标准版的问题修复了HTTP 401禁止响应表单认证错误修复了扫描产生413个错误响应的问题
使用/安装方法
1.解压打开Netsparkey.exe
2.选择URl进行测试即可
免责声明
获取方法
【超级会员V5】通过百度网盘分享的文件:Invicti ....zip链接:https://pan.baidu.com/s/1C69_4kebl9AzXKfnb00l3A?pwd=cbaq 提取码:cbaq 复制这段内容打开「百度网盘APP 即可获取」解压密码:HackTwo
原文始发于微信公众号(渗透安全HackTwo):最新Invicti-Professional-V24.5更新-WEB漏洞扫描器下载
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论