前言
Invicti 专业 Web 应用程序安全扫描器
自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞,包括可以识别各种漏洞的自动扫描程序,以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。
一些基本的安全测试应包括测试:
- SQL注入
- XSS(跨站脚本)
- DOM跨站脚本攻击
- 命令注入
- 盲命令注入
- 本地文件包含和任意文件读取
- 远程文件包含
- 远程代码注入/评估
- CRLF / HTTP 标头注入 / 响应分割
- 打开重定向
- 帧注入
- 具有管理员权限的数据库用户
- 漏洞 - 数据库(推断的漏洞)
- ViewState 未签名
- ViewState 未加密
- 网络后门
- TRACE / TRACK 方法支持已启用
- 禁用 XSS 保护
- 启用 ASP.NET 调试
- 启用 ASP.NET 跟踪
- 可访问的备份文件
- 可访问的 Apache 服务器状态和 Apache 服务器信息页面
- 可访问的隐藏资源
- 存在漏洞的 Crossdomain.xml 文件
- 易受攻击的 Robots.txt 文件
- 易受攻击的 Google 站点地图
- 应用程序源代码公开
- Silverlight 客户端访问策略文件存在漏洞
- CVS、GIT 和 SVN 信息和源代码公开
- PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
- 可访问敏感文件
- 重定向响应主体太大
- 重定向响应 BODY 有两个响应
- 通过 HTTP 使用不安全的身份验证方案
- 通过 HTTP 传输的密码
- 通过 HTTP 提供的密码表单
- 暴力破解获取认证
- 通过 HTTP 获取的基本身份验证
- 凭证薄弱
- 电子邮件地址泄露
- 内部IP泄露
- 目录列表
- 版本公开
- 内部路径泄露
- 访问被拒绝的资源
- MS Office信息披露
- 自动完成已启用
- MySQL 用户名泄露
- 默认页面安全性
- Cookie 未标记为安全
- Cookie 未标记为 HTTPOnly
- 堆栈跟踪披露
- 编程错误信息披露
- 数据库错误信息披露
02更新介绍
更改 Invicti Network Traffic Analyzer 的设置配置
修复
修复了编辑报告策略时发生的错误
修复了导致 CPU 100% 问题的 WMI 尖峰问题
API 发现:在某些情况下,从 Apigee 发现的 API 未正确显示
修复了在编辑集成时 ServiceNow 集成字段未加载的问题
修复了单击 Jira 集成中的克隆按钮错误地重定向到创建新集成页面的问题
修复了代理中与 Chromium 相关的问题
更正了“api/1.0/scans/test-scan-profile-credentials”端点的描述
修复了在 Dashboard Date Range 中选择自定义时间段时的错误
修复了当 Puppeteer 遇到错误时无法删除临时文件夹且 Chromium 实例保持打开状态的问题
修复了 Scan Summary (扫描摘要) 页面上的显示问题
修复了检测到 “Stack Trace Disclosure (Java)” 时的误报
修复了扫描身份验证问题并减少了延迟
修复了阻止下载详细 PCI 报告的问题
修复了与 Moment.js 正则表达式相关的问题
更新了 Cloud AMI 上的 OpenSSL 配置
修复了 Invicti Common 文件夹中的磁盘空间问题
修复了 Jira 集成问题的自动同步
修复了由于未建立 TLS 连接而导致扫描失败的问题
修复了 OIDC 身份验证问题
修复了发送自定义值时 REST API 端点返回 HTTP 400 而不是 HTTP 200 的问题
修复了无法正确登录目标 URL 的问题
新的安全检查
新增 XWiki 版本泄露漏洞和攻击模式。
修复
修复了与 Polyfill.io 相关的漏报问题。
修复了与使用 OIDC 方法和登录弹出窗口为 Web 应用程序创建自定义脚本相关的问题。
04使用/安装方法
2.选择URl进行测试即可
05 下载
原文始发于微信公众号(渗透安全HackTwo):最新Invicti-Professional-V24.9.1 WEB漏洞扫描器更新|近期漏洞合集更新
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论