前言
Invicti 专业 Web 应用程序安全扫描器
自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。
它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞,包括可以识别各种漏洞的自动扫描程序,以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。
新增全新的企业版
一些基本的安全测试应包括测试:
SQL注入
XSS(跨站脚本)
DOM跨站脚本攻击
命令注入
盲命令注入
本地文件包含和任意文件读取
远程文件包含
远程代码注入/评估
CRLF / HTTP 标头注入 / 响应分割
打开重定向
帧注入
具有管理员权限的数据库用户
漏洞 - 数据库(推断的漏洞)
ViewState 未签名
ViewState 未加密
网络后门
TRACE / TRACK 方法支持已启用
禁用 XSS 保护
启用 ASP.NET 调试
启用 ASP.NET 跟踪
可访问的备份文件
可访问的 Apache 服务器状态和 Apache 服务器信息页面
可访问的隐藏资源
存在漏洞的 Crossdomain.xml 文件
易受攻击的 Robots.txt 文件
易受攻击的 Google 站点地图
应用程序源代码公开
Silverlight 客户端访问策略文件存在漏洞
CVS、GIT 和 SVN 信息和源代码公开
PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
可访问敏感文件
重定向响应主体太大
重定向响应 BODY 有两个响应
通过 HTTP 使用不安全的身份验证方案
通过 HTTP 传输的密码
通过 HTTP 提供的密码表单
暴力破解获取认证
通过 HTTP 获取的基本身份验证
凭证薄弱
电子邮件地址泄露
内部IP泄露
目录列表
版本公开
内部路径泄露
访问被拒绝的资源
MS Office信息披露
自动完成已启用
MySQL 用户名泄露
默认页面安全性
Cookie 未标记为安全
Cookie 未标记为 HTTPOnly
堆栈跟踪披露
编程错误信息披露
数据库错误信息披露
更新介绍
单浏览器扫描设置:单浏览器模式现在由浏览器设置下的扫描策略控制,因此您可以按策略在单浏览器和多浏览器扫描之间切换,而不是全局切换。#已解决的问题智能卡和 Microsoft 登录身份验证:基于证书(智能卡)的身份验证现在在 Invicti Standard 嵌入式浏览器中再次有效,因此依赖于客户端证书的 Microsoft 登录流程不再会在重定向过程中出现协议错误。用户编辑的报告策略部分在升级时得以保留:您在报告策略中对 CWE 值和漏洞模板部分的自定义设置不会在版本升级期间被覆盖,因此您每次升级时都不会丢失调整工作。手动爬取和等待暂停:启用“爬取和等待”后,扫描会在爬取阶段结束后暂停,并提供手动爬取和代理操作,以便您可以在攻击阶段开始之前完成手动爬取。已解决的问题登录和注销验证: “验证登录和注销”按钮已修复,确保您可以不间断地验证您的身份验证设置。#已解决的问题身份验证和脚本编辑器稳定性:身份验证和自定义脚本编辑器在操作过程中不再冻结,因此扫描可以正常运行,不会出现意外的 UI 卡顿。报告策略管理:现在您可以重命名或删除报告策略而不会出现错误,从而完全控制您的报告配置。对现有功能的改进被动引擎代理稳定性:使用自定义 Web 代理的扫描现在运行更加可靠,因此您的目标不会被意外超时或中断。#错误修复智能卡扫描可靠性:使用智能卡身份验证的扫描现在可以启动和运行而不会冻结,因此您可以顺利、及时地完成安全扫描。OAuth 扫描导出可靠性:使用 OAuth 设置的扫描现在可以成功导出,因此您的扫描数据完整且可用,没有错误。
使用/安装方法
1.解压打开Netsparkey.exe
2.选择URl进行测试即可
免责声明
获取方法
公众号回复20260606获取Invicti-Professional
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




发表评论