0x01 Netsparker介绍
全自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。
0x02 Netsparker更新介绍
Netsparker v6.4.0.35166版本 发布于2022年3月8日
添加了令牌匹配规则,改进了 GraphQL 攻击以包含非字符串字段。
0x03 Netsparker更新详情
改进
-
Netsparker 现在 Invicti。
-
当需要从目标 URL 以外的网站获取令牌时,添加了令牌匹配规则。
-
改进了 GraphQL 攻击以包含非字符串字段。
修复
-
修复了软件组成分析和知识库之间关于报告的漏洞的一致性问题。
-
修复了当用户从扫描策略中禁用知识库时阻止知识库视图正确显示的错误。
- 通过添加控制当前扫描策略是否为空来修复空引用异常。
- 修复了代理在暂停后不继续扫描的错误。
- 修复了在重新测试后无法正确显示软件组成分析检测到的所有组件的错误。
0x04 Netsparker支持的漏洞
-
SQL 注入
-
XSS(跨站脚本)
-
DOM XSS
-
命令注入
-
盲命令注入
-
本地文件包含和任意文件读取
-
远程文件包含
-
远程代码注入/评估
-
CRLF / HTTP 标头注入 / 响应拆分
-
打开重定向
-
帧注入
-
具有管理员权限的数据库用户
-
漏洞 - 数据库(推断的漏洞)
-
ViewState 未签名
-
ViewState 未加密
-
网络后门
-
TRACE / TRACK 方法支持已启用
-
禁用 XSS 保护
-
启用 ASP.NET 调试
-
已启用 ASP.NET 跟踪
-
可访问的备份文件
-
可访问的 Apache 服务器状态和 Apache 服务器信息页面
-
可访问的隐藏资源
-
易受攻击的 Crossdomain.xml 文件
-
易受攻击的 Robots.txt 文件
-
易受攻击的谷歌站点地图
-
应用程序源代码公开
-
Silverlight 客户端访问策略文件易受攻击
-
CVS、GIT 和 SVN 信息和源代码披露
-
PHPInfo() Pages Accessible 和 PHPInfo() Disclosure in other Pages
-
敏感文件可访问
-
重定向响应 BODY 太大
-
重定向响应 BODY 有两个响应
-
HTTP 上使用的不安全身份验证方案
-
通过 HTTP 传输的密码
-
通过 HTTP 提供的密码表单
-
暴力破解获得的认证
-
通过 HTTP 获得的基本身份验证
-
弱凭证
-
电子邮件地址披露
-
内部知识产权披露
-
目录列表
-
版本披露
-
内部路径披露
-
访问被拒绝的资源
-
MS Office 信息披露
-
启用自动完成
-
MySQL 用户名披露
-
默认页面安全
-
未标记为安全的 Cookie
-
未标记为 HTTPOnly 的 Cookie
-
堆栈跟踪披露
-
编程错误信息披露
-
数据库错误信息披露
0x05 获取下载
https://cloud.189.cn/t/6fuu2yni6Fv2 (访问码:fan7)
免责声明
由于传播、利用本公众号渗透测试网络安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透测试网络安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论