WEB扫描器Invicti-Professional-V26.30.0（自动化爬虫扫描）更新

Invicti专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序，可自动查找网站、Web 应用程序和 Web 服务中的安全。

更多工具获取地址：https://docs.qq.com/sheet/DWE1hQXRyWVZ2dmpB?tab=BB08J2

请访问原文链接：WEB漏洞扫描器Invicti-Professional-V26.30.0查看最新版。原创作品，官方地址：HackTwoHub安全社区官方地址转载请保留出处。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等。

它可以扫描托管在各种平台上的 Web 应用程序，包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的，包括可以识别各种的自动扫描程序，以及允许用户手动测试的手动测试工具。它可以作为独立产品或云服务提供。

请访问原文链接：WEB漏洞扫描器Invicti-Professional-V26.30.0查看最新版。原创作品，官方地址：HackTwoHub安全社区官方地址转载请保留出处。

新增全新的企业版

一些基本的安全测试应包括测试：

• SQL注入

• XSS（跨站脚本）

• DOM跨站脚本攻击

• 命令注入

• 盲命令注入

• 本地文件包含和任意文件读取

• 远程文件包含

• 远程代码注入/评估

• CRLF / HTTP 标头注入 / 响应分割

• 打开重定向

• 帧注入

• 具有管理员权限的数据库用户

• ViewState 未签名

• ViewState 未加密

• 网络后门

• TRACE / TRACK 方法支持已启用

• 禁用 XSS 保护

• 启用 ASP.NET 调试

• 启用 ASP.NET 跟踪

• 可访问的备份文件

• 可访问的 Apache 服务器状态和 Apache 服务器信息页面

• 可访问的隐藏资源

• 存在的 Crossdomain.xml 文件

• 易受攻击的 Robots.txt 文件

• 易受攻击的 Google 站点地图

• 应用程序源代码公开

• Silverlight 客户端访问策略文件存在

• CVS、GIT 和 SVN 信息和源代码公开

• PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露

• 可访问敏感文件

• 重定向响应主体太大

• 重定向响应 BODY 有两个响应

• 通过 HTTP 使用不安全的身份验证方案

• 通过 HTTP 传输的密码

• 通过 HTTP 提供的密码表单

• 暴力破解获取认证

• 通过 HTTP 获取的基本身份验证

• 凭证薄弱

• 电子邮件地址泄露

• 内部IP泄露

• 目录列表

• 版本公开

• 内部路径泄露

• 访问被拒绝的资源

• MS Office信息披露

• 自动完成已启用

• MySQL 用户名泄露

• 默认页面安全性

• Cookie 未标记为安全

• Cookie 未标记为 HTTPOnly

• 堆栈跟踪披露

• 编程错误信息披露

• 数据库错误信息披露

更新介绍

#新功能新增了对使用客户端证书身份验证的 SEM 集成支持在 OAuth2 选项卡中新增了对使用密钥的支持身份验证时新增了 .har 文件下载#改进Invicti.Common.Browser.Driver 的 Node 版本已更新至 v20.20.0已将 Shark.Java 包从版本 20 升级到版本 21改进的登录失败通知增量扫描现在可以正确检测新增页面和已修改页面，并且在没有更改时不执行任何操作。改进的 DOM XSS 模拟#已解决的问题修复了影响“详细扫描报告”生成的问题。修复了创建知识库条目时出现的问题。秘密部分的信息面板已更新

请访问原文链接：WEB漏洞扫描器Invicti-Professional-V26.30.0查看最新版。原创作品，官方地址：HackTwoHub安全社区官方地址转载请保留出处。