Invicti-Professional漏洞扫描工具
Invicti 专业 Web 应用程序安全扫描器
自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
它可以扫描托管在各种平台上的 Web 应用程序,包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞,包括可以识别各种漏洞的自动扫描程序,以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。
一些基本的安全测试应包括测试:
[*]SQL注入
[*]XSS(跨站脚本)
[*]DOM跨站脚本攻击
[*]命令注入
[*]盲命令注入
[*]本地文件包含和任意文件读取
[*]远程文件包含
[*]远程代码注入/评估
[*]CRLF / HTTP 标头注入 / 响应分割
[*]打开重定向
[*]帧注入
[*]具有管理员权限的数据库用户
[*]漏洞 - 数据库(推断的漏洞)
[*]ViewState 未签名
[*]ViewState 未加密
[*]网络后门
[*]TRACE / TRACK 方法支持已启用
[*]禁用 XSS 保护
[*]启用 ASP.NET 调试
[*]启用 ASP.NET 跟踪
[*]可访问的备份文件
[*]可访问的 Apache 服务器状态和 Apache 服务器信息页面
[*]可访问的隐藏资源
[*]存在漏洞的 Crossdomain.xml 文件
[*]易受攻击的 Robots.txt 文件
[*]易受攻击的 Google 站点地图
[*]应用程序源代码公开
[*]Silverlight 客户端访问策略文件存在漏洞
[*]CVS、GIT 和 SVN 信息和源代码公开
[*]PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
[*]可访问敏感文件
[*]重定向响应主体太大
[*]重定向响应 BODY 有两个响应
[*]通过 HTTP 使用不安全的身份验证方案
[*]通过 HTTP 传输的密码
[*]通过 HTTP 提供的密码表单
[*]暴力破解获取认证
[*]通过 HTTP 获取的基本身份验证
[*]凭证薄弱
[*]电子邮件地址泄露
[*]内部IP泄露
[*]目录列表
[*]版本公开
[*]内部路径泄露
[*]访问被拒绝的资源
[*]MS Office信息披露
[*]自动完成已启用
[*]MySQL 用户名泄露
[*]默认页面安全性
[*]Cookie 未标记为安全
[*]Cookie 未标记为 HTTPOnly
[*]堆栈跟踪披露
[*]编程错误信息披露
[*]数据库错误信息披露
**** Hidden Message *****
激动人心,无法言表! 看到这帖子真是高兴! 强烈支持楼主ing…… 强烈支持楼主ing…… 强烈支持楼主ing…… 激动人心,无法言表! 强烈支持楼主ing…… 激动人心,无法言表! 激动人心,无法言表!
页:
[1]
2