Invicti专业 Web 应用程序安全扫描器
自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全。
请访问原文链接:WEB漏洞扫描器Invicti-Professional-V26.50.0查看最新版。原创作品,官方地址:HackTwoHub安全社区官方地址转载请保留出处。
Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等。
它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的,包括可以识别各种的自动扫描程序,以及允许用户手动测试的手动测试工具。它可以作为独立产品或云服务提供。
新增全新的企业版
一些基本的安全测试应包括测试:
-
SQL注入
-
XSS(跨站脚本)
-
DOM跨站脚本攻击
-
命令注入
-
盲命令注入
-
本地文件包含和任意文件读取
-
远程文件包含
-
远程代码注入/评估
-
CRLF / HTTP 标头注入 / 响应分割
-
打开重定向
-
帧注入
-
具有管理员权限的数据库用户
-
ViewState 未签名
-
ViewState 未加密
-
网络后门
-
TRACE / TRACK 方法支持已启用
-
禁用 XSS 保护
-
启用 ASP.NET 调试
-
启用 ASP.NET 跟踪
-
可访问的备份文件
-
可访问的 Apache 服务器状态和 Apache 服务器信息页面
-
可访问的隐藏资源
-
存在的 Crossdomain.xml 文件
-
易受攻击的 Robots.txt 文件
-
易受攻击的 Google 站点地图
-
应用程序源代码公开
-
Silverlight 客户端访问策略文件存在
-
CVS、GIT 和 SVN 信息和源代码公开
-
PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
-
可访问敏感文件
-
重定向响应主体太大
-
重定向响应 BODY 有两个响应
-
通过 HTTP 使用不安全的身份验证方案
-
通过 HTTP 传输的密码
-
通过 HTTP 提供的密码表单
-
暴力破解获取认证
-
通过 HTTP 获取的基本身份验证
-
凭证薄弱
-
电子邮件地址泄露
-
内部IP泄露
-
目录列表
-
版本公开
-
内部路径泄露
-
访问被拒绝的资源
-
MS Office信息披露
-
自动完成已启用
-
MySQL 用户名泄露
-
默认页面安全性
-
Cookie 未标记为安全
-
Cookie 未标记为 HTTPOnly
-
堆栈跟踪披露
-
编程错误信息披露
-
数据库错误信息披露
更新介绍
单浏览器扫描设置:单浏览器模式现在由浏览器设置下的扫描策略控制,因此您可以按策略在单浏览器和多浏览器扫描之间切换,而不是全局切换。#已解决的问题智能卡和 Microsoft 登录身份验证:基于证书(智能卡)的身份验证现在在 Invicti Standard 嵌入式浏览器中再次有效,因此依赖于客户端证书的 Microsoft 登录流程不再会在重定向过程中出现协议错误。用户编辑的报告策略部分在升级时得以保留:您在报告策略中对 CWE 值和漏洞模板部分的自定义设置不会在版本升级期间被覆盖,因此您每次升级时都不会丢失调整工作。手动爬取和等待暂停:启用"爬取和等待"后,扫描会在爬取阶段结束后暂停,并提供手动爬取和代理操作,以便您可以在攻击阶段开始之前完成手动爬取。已解决的问题登录和注销验证: "验证登录和注销"按钮已修复,确保您可以不间断地验证您的身份验证设置。#已解决的问题身份验证和脚本编辑器稳定性:身份验证和自定义脚本编辑器在操作过程中不再冻结,因此扫描可以正常运行,不会出现意外的 UI 卡顿。报告策略管理:现在您可以重命名或删除报告策略而不会出现错误,从而完全控制您的报告配置。对现有功能的改进被动引擎代理稳定性:使用自定义 Web 代理的扫描现在运行更加可靠,因此您的目标不会被意外超时或中断。#错误修复智能卡扫描可靠性:使用智能卡身份验证的扫描现在可以启动和运行而不会冻结,因此您可以顺利、及时地完成安全扫描。OAuth 扫描导出可靠性:使用 OAuth 设置的扫描现在可以成功导出,因此您的扫描数据完整且可用,没有错误。请访问原文链接:WEB漏洞扫描器Invicti-Professional-V26.50.0查看最新版。原创作品,官方地址:HackTwoHub安全社区官方地址转载请保留出处。