最新Invicti-Professional-V24.10 WEB漏洞扫描器更新

admin 2024年10月30日09:18:19评论22 views字数 2237阅读7分27秒阅读模式

01 前言

 

Invicti 专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞,包括可以识别各种漏洞的自动扫描程序,以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。

一些基本的安全测试应包括测试:

  • SQL注入
  • XSS(跨站脚本)
  • DOM跨站脚本攻击
  • 命令注入
  • 盲命令注入
  • 本地文件包含和任意文件读取
  • 远程文件包含
  • 远程代码注入/评估
  • CRLF / HTTP 标头注入 / 响应分割
  • 打开重定向
  • 帧注入
  • 具有管理员权限的数据库用户
  • 漏洞 - 数据库(推断的漏洞)
  • ViewState 未签名
  • ViewState 未加密
  • 网络后门
  • TRACE / TRACK 方法支持已启用
  • 禁用 XSS 保护
  • 启用 ASP.NET 调试
  • 启用 ASP.NET 跟踪
  • 可访问的备份文件
  • 可访问的 Apache 服务器状态和 Apache 服务器信息页面
  • 可访问的隐藏资源
  • 存在漏洞的 Crossdomain.xml 文件
  • 易受攻击的 Robots.txt 文件
  • 易受攻击的 Google 站点地图
  • 应用程序源代码公开
  • Silverlight 客户端访问策略文件存在漏洞
  • CVS、GIT 和 SVN 信息和源代码公开
  • PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
  • 可访问敏感文件
  • 重定向响应主体太大
  • 重定向响应 BODY 有两个响应
  • 通过 HTTP 使用不安全的身份验证方案
  • 通过 HTTP 传输的密码
  • 通过 HTTP 提供的密码表单
  • 暴力破解获取认证
  • 通过 HTTP 获取的基本身份验证
  • 凭证薄弱
  • 电子邮件地址泄露
  • 内部IP泄露
  • 目录列表
  • 版本公开
  • 内部路径泄露
  • 访问被拒绝的资源
  • MS Office信息披露
  • 自动完成已启用
  • MySQL 用户名泄露
  • 默认页面安全性
  • Cookie 未标记为安全
  • Cookie 未标记为 HTTPOnly
  • 堆栈跟踪披露
  • 编程错误信息披露
  • 数据库错误信息披露

最新Invicti-Professional-V24.10 WEB漏洞扫描器更新

02 更新介绍

新功能管理员现在可以将代理组分配给团队,以更好地控制代理和可以使用它们的团队。请联系我们的支持团队以激活此功能新的安全检查调整 SSLv3 和 TLS 1.0 漏洞的严重性,以反映其安全风险添加了对 CSP 帧上级的支持新增 CVE-2024-6297 检测,影响多个 WordPress 插件添加了 XWiki 版本泄漏漏洞和攻击模式改进预请求脚本现在也可以在 DOM 中使用Azure 扩展现在会重试连接,以防止管道故障与我们的分析合作伙伴 Pendo 匿名共享诊断和用户数据现在只能选择退出修复修复了代理 Dotnet 依赖项包上的高漏洞问题修复了在 ServiceNow 集成设置期间阻止选择配置项的问题修复了使用目标组 ID 更新目标的问题修复了由于夏令时调整而导致身份验证验证程序检测信号显示晚一小时的问题修复了编辑报告策略时发生的错误修复了 REST API 端点返回 TLS 1.0 漏洞的交替严重性数据的问题解决了影响爬网功能的请求前脚本问题修复了 Discovery 服务中的标记在转换为目标时会创建单字符标记的问题修复了在开始加密密钥生成后加密过程仍处于待处理状态且未完成的问题修复了 API 中“/api/1.0/issues/allissues”在“历史记录”字段中始终返回 NULL 的错误现在,所有客户都可以在 Scans Control Settings (扫描控制设置) 中使用暂停所有未来扫描的选项修复了与 Polyfill.io 相关的假阴性问题修复了与使用 OIDC 方法和登录弹出窗口为 Web 应用程序创建自定义脚本相关的问题修复了扫描摘要页面未根据设置超时的问题解决了在安装过程中无法安装 AV 代理的问题解决了修改设置触发错误的问题解决了阻止加载问题详细信息的问题

04 使用/安装方法

1.解压打开Netsparkey.exe

最新Invicti-Professional-V24.10 WEB漏洞扫描器更新

2.选择URl进行测试即可

最新Invicti-Professional-V24.10 WEB漏洞扫描器更新

05获取方法

链接:https://pan.quark.cn/s/b1c933491ae5

解压密码HackTwo

最新Invicti-Professional-V24.10 WEB漏洞扫描器更新

最后必看

    本工具及文章技巧仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。

在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具来源于网络,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!

在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。

原文始发于微信公众号(渗透安全HackTwo):最新Invicti-Professional-V24.10 WEB漏洞扫描器更新|近期漏洞合集更新

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日09:18:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新Invicti-Professional-V24.10 WEB漏洞扫描器更新https://cn-sec.com/archives/3331533.html

发表评论

匿名网友 填写信息