WEB漏洞扫描器Invicti-Professional-V26.10.0

Invicti 专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序，可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。

一些基本的安全测试应包括测试

• SQL注入

• XSS（跨站脚本）

• DOM跨站脚本攻击

• 命令注入

• 盲命令注入

• 本地文件包含和任意文件读取

• 远程文件包含

• 远程代码注入/评估

• CRLF / HTTP 标头注入 / 响应分割

• 打开重定向

• 帧注入

• 具有管理员权限的数据库用户

• 漏洞 – 数据库（推断的漏洞）

• ViewState 未签名

• ViewState 未加密

• 网络后门

• TRACE / TRACK 方法支持已启用

• 禁用 XSS 保护

• 启用 ASP.NET 调试

• 启用 ASP.NET 跟踪

• 可访问的备份文件

• 可访问的 Apache 服务器状态和 Apache 服务器信息页面

• 可访问的隐藏资源

• 存在漏洞的 Crossdomain.xml 文件

• 易受攻击的 Robots.txt 文件

• 易受攻击的 Google 站点地图

• 应用程序源代码公开

• Silverlight 客户端访问策略文件存在漏洞

• CVS、GIT 和 SVN 信息和源代码公开

• PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露

• 可访问敏感文件

• 重定向响应主体太大

• 重定向响应 BODY 有两个响应

• 通过 HTTP 使用不安全的身份验证方案

• 通过 HTTP 传输的密码

• 通过 HTTP 提供的密码表单

• 暴力破解获取认证

• 通过 HTTP 获取的基本身份验证

• 凭证薄弱

• 电子邮件地址泄露

• 内部IP泄露

• 目录列表

• 版本公开

• 内部路径泄露

• 访问被拒绝的资源

• MS Office信息披露

• 自动完成已启用

• MySQL 用户名泄露

• 默认页面安全性

• Cookie 未标记为安全

• Cookie 未标记为 HTTPOnly

• 堆栈跟踪披露

• 编程错误信息披露

• 数据库错误信息披露

更新

#标准版更新
新功能
已将浏览器网络日志和控制台日志添加到验证日志区域
已解决的问题
修复了当路径包含空格时与 TempPath 相关的错误
修复了 OAuth2 三方授权码问题
修复了站点地图问题，该问题会导致包含 /#/ 的 URL 缺失。
修复了重新测试扫描启动失败的问题
暂停并恢复后出现的问题已修复。
修复了扫描数据归档错误

#企业版更新
新功能
在报表策略中实施了 ACX 安全检查，使其与 IS 中的现有功能保持一致。
现在可以从密钥中检索 OAuth2 中使用的凭据。
新增了在配置基本身份验证、摘要式身份验证、NTLM/Kerberos 身份验证或协商身份验证时引用 SEM 集成中的密钥的支持。
新的安全检查
为 Next.js/React 服务器组件 RCE 实现了安全检查：
CVE-2025-55182
CVE-2025-66478
改进
在 JIRA 集成中添加了“修复版本”字段
在扫描摘要页面中添加了“排队原因”。
改进的 IP 限制逻辑
改进了“未实施 SameSite Cookie”安全检查
改进了“JWT签名未验证”安全检查
已解决的问题
代理凭据现在已在 InvictiProxy 日志中正确屏蔽。
修复了扫描摘要页面上缺失的已知问题和 CVE 详细信息。
修复了手动禁用分配给已排队或正在进行的扫描任务的代理会导致这些扫描任务无限期卡住的问题。现在，系统会阻止禁用已分配扫描任务的代理，并显示清晰的错误消息。
增强的 OAuth2 业务逻辑和加密实现
修复了身份验证扫描期间导致登录失败的问题。
由于自定义安全脚本中的语法错误，阻止扫描失败。
修复了添加新证书时的布局问题
修复了未持有 API Discovery 许可证的用户在“设置”>“常规”页面更新项目时看到“ApiHub 服务 URL 不能为空”错误的问题。
修复了添加目标时“网站删除仍在继续”的问题
修复了 Mend 集成中的空列表问题
修复了 Linux/云代理无法解析请求查询参数前的密钥的问题
更新后的 Java 传感器
修复了确认短信的问题

下载