0x01 Netsparker介绍
全自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。
0x02 Netsparker更新介绍
Netsparker v6.4.0.35166版本 发布于2022年3月8日
添加了令牌匹配规则,改进了 GraphQL 攻击以包含非字符串字段。
0x03 Netsparker更新详情
改进
Netsparker 现在 Invicti。
当需要从目标 URL 以外的网站获取令牌时,添加了令牌匹配规则。
改进了 GraphQL 攻击以包含非字符串字段。
修复
修复了软件组成分析和知识库之间关于报告的漏洞的一致性问题。
修复了当用户从扫描策略中禁用知识库时阻止知识库视图正确显示的错误。
通过添加控制当前扫描策略是否为空来修复空引用异常。
修复了代理在暂停后不继续扫描的错误。
修复了在重新测试后无法正确显示软件组成分析检测到的所有组件的错误。
0x04 Netsparker支持的漏洞
SQL 注入
XSS(跨站脚本)
DOM XSS
命令注入
盲命令注入
本地文件包含和任意文件读取
远程文件包含
远程代码注入/评估
CRLF / HTTP 标头注入 / 响应拆分
打开重定向
帧注入
具有管理员权限的数据库用户
漏洞 - 数据库(推断的漏洞)
ViewState 未签名
ViewState 未加密
网络后门
TRACE / TRACK 方法支持已启用
禁用 XSS 保护
启用 ASP.NET 调试
已启用 ASP.NET 跟踪
可访问的备份文件
可访问的 Apache 服务器状态和 Apache 服务器信息页面
可访问的隐藏资源
易受攻击的 Crossdomain.xml 文件
易受攻击的 Robots.txt 文件
易受攻击的谷歌站点地图
应用程序源代码公开
Silverlight 客户端访问策略文件易受攻击
CVS、GIT 和 SVN 信息和源代码披露
PHPInfo() Pages Accessible 和 PHPInfo() Disclosure in other Pages
敏感文件可访问
重定向响应 BODY 太大
重定向响应 BODY 有两个响应
HTTP 上使用的不安全身份验证方案
通过 HTTP 传输的密码
通过 HTTP 提供的密码表单
暴力破解获得的认证
通过 HTTP 获得的基本身份验证
弱凭证
电子邮件地址披露
内部知识产权披露
目录列表
版本披露
内部路径披露
访问被拒绝的资源
MS Office 信息披露
启用自动完成
MySQL 用户名披露
默认页面安全
未标记为安全的 Cookie
未标记为 HTTPOnly 的 Cookie
堆栈跟踪披露
编程错误信息披露
数据库错误信息披露
0x05 获取下载
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...