WEB漏洞扫描器Invicti-Professional-V26.50.0

Invicti 专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序，可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。

一些基本的安全测试应包括测试

• SQL注入

• XSS（跨站脚本）

• DOM跨站脚本攻击

• 命令注入

• 盲命令注入

• 本地文件包含和任意文件读取

• 远程文件包含

• 远程代码注入/评估

• CRLF / HTTP 标头注入 / 响应分割

• 打开重定向

• 帧注入

• 具有管理员权限的数据库用户

• 漏洞 – 数据库（推断的漏洞）

• ViewState 未签名

• ViewState 未加密

• 网络后门

• TRACE / TRACK 方法支持已启用

• 禁用 XSS 保护

• 启用 ASP.NET 调试

• 启用 ASP.NET 跟踪

• 可访问的备份文件

• 可访问的 Apache 服务器状态和 Apache 服务器信息页面

• 可访问的隐藏资源

• 存在漏洞的 Crossdomain.xml 文件

• 易受攻击的 Robots.txt 文件

• 易受攻击的 Google 站点地图

• 应用程序源代码公开

• Silverlight 客户端访问策略文件存在漏洞

• CVS、GIT 和 SVN 信息和源代码公开

• PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露

• 可访问敏感文件

• 重定向响应主体太大

• 重定向响应 BODY 有两个响应

• 通过 HTTP 使用不安全的身份验证方案

• 通过 HTTP 传输的密码

• 通过 HTTP 提供的密码表单

• 暴力破解获取认证

• 通过 HTTP 获取的基本身份验证

• 凭证薄弱

• 电子邮件地址泄露

• 内部IP泄露

• 目录列表

• 版本公开

• 内部路径泄露

• 访问被拒绝的资源

• MS Office信息披露

• 自动完成已启用

• MySQL 用户名泄露

• 默认页面安全性

• Cookie 未标记为安全

• Cookie 未标记为 HTTPOnly

• 堆栈跟踪披露

• 编程错误信息披露

• 数据库错误信息披露

更新

单浏览器扫描设置：单浏览器模式现在由浏览器设置下的扫描策略控制，因此您可以按策略在单浏览器和多浏览器扫描之间切换，而不是全局切换。
#已解决的问题
智能卡和 Microsoft 登录身份验证：基于证书（智能卡）的身份验证现在在 Invicti Standard 嵌入式浏览器中再次有效，因此依赖于客户端证书的 Microsoft 登录流程不再会在重定向过程中出现协议错误。
用户编辑的报告策略部分在升级时得以保留：您在报告策略中对 CWE 值和漏洞模板部分的自定义设置不会在版本升级期间被覆盖，因此您每次升级时都不会丢失调整工作。
手动爬取和等待暂停：启用“爬取和等待”后，扫描会在爬取阶段结束后暂停，并提供手动爬取和代理操作，以便您可以在攻击阶段开始之前完成手动爬取。
已解决的问题
登录和注销验证： “验证登录和注销”按钮已修复，确保您可以不间断地验证您的身份验证设置。
#已解决的问题
身份验证和脚本编辑器稳定性：身份验证和自定义脚本编辑器在操作过程中不再冻结，因此扫描可以正常运行，不会出现意外的 UI 卡顿。
报告策略管理：现在您可以重命名或删除报告策略而不会出现错误，从而完全控制您的报告配置。
对现有功能的改进
被动引擎代理稳定性：使用自定义 Web 代理的扫描现在运行更加可靠，因此您的目标不会被意外超时或中断。
#错误修复
智能卡扫描可靠性：使用智能卡身份验证的扫描现在可以启动和运行而不会冻结，因此您可以顺利、及时地完成安全扫描。
OAuth 扫描导出可靠性：使用 OAuth 设置的扫描现在可以成功导出，因此您的扫描数据完整且可用，没有错误。

下载