2026-01-22 00:32:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了InvictiProfessionalV26.10.0版本的更新，新增企业版并增强了自动化爬虫扫描功能。该版本支持SQL注入、XSS等多种漏洞检测，修复了OAuth2及路径空格等问题，新增Next.js/ReactRCE安全检查及多项集成优化，适用于合法授权的企业安全建设。 综合评分： 70 文章分类： 安全工具,WEB安全,产品介绍

cover_image

WEB漏洞扫描器（新增企业版）Invicti-Professional-V26.10.0（自动化爬虫扫描漏洞）更新

原创

城北城北

渗透安全HackTwo

2026年1月21日 00:00 广东

前言

Invicti 专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序，可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。

它可以扫描托管在各种平台上的 Web 应用程序，包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞，包括可以识别各种漏洞的自动扫描程序，以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。

新增全新的企业版

一些基本的安全测试应包括测试：

SQL注入
XSS（跨站脚本）
DOM跨站脚本攻击
命令注入
盲命令注入
本地文件包含和任意文件读取
远程文件包含
远程代码注入/评估
CRLF / HTTP 标头注入 / 响应分割
打开重定向
帧注入
具有管理员权限的数据库用户
漏洞 – 数据库（推断的漏洞）
ViewState 未签名
ViewState 未加密
网络后门
TRACE / TRACK 方法支持已启用
禁用 XSS 保护
启用 ASP.NET 调试
启用 ASP.NET 跟踪
可访问的备份文件
可访问的 Apache 服务器状态和 Apache 服务器信息页面
可访问的隐藏资源
存在漏洞的 Crossdomain.xml 文件
易受攻击的 Robots.txt 文件
易受攻击的 Google 站点地图
应用程序源代码公开
Silverlight 客户端访问策略文件存在漏洞
CVS、GIT 和 SVN 信息和源代码公开
PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
可访问敏感文件
重定向响应主体太大
重定向响应 BODY 有两个响应
通过 HTTP 使用不安全的身份验证方案
通过 HTTP 传输的密码
通过 HTTP 提供的密码表单
暴力破解获取认证
通过 HTTP 获取的基本身份验证
凭证薄弱
电子邮件地址泄露
内部IP泄露
目录列表
版本公开
内部路径泄露
访问被拒绝的资源
MS Office信息披露
自动完成已启用
MySQL 用户名泄露
默认页面安全性
Cookie 未标记为安全
Cookie 未标记为 HTTPOnly
堆栈跟踪披露
编程错误信息披露
数据库错误信息披露

更新介绍

#标准版更新新功能已将浏览器网络日志和控制台日志添加到验证日志区域已解决的问题修复了当路径包含空格时与 TempPath 相关的错误修复了 OAuth2 三方授权码问题修复了站点地图问题，该问题会导致包含 /#/ 的 URL 缺失。修复了重新测试扫描启动失败的问题暂停并恢复后出现的问题已修复。修复了扫描数据归档错误
#企业版更新新功能在报表策略中实施了 ACX 安全检查，使其与 IS 中的现有功能保持一致。现在可以从密钥中检索 OAuth2 中使用的凭据。新增了在配置基本身份验证、摘要式身份验证、NTLM/Kerberos 身份验证或协商身份验证时引用 SEM 集成中的密钥的支持。新的安全检查为 Next.js/React 服务器组件 RCE 实现了安全检查：CVE-2025-55182CVE-2025-66478改进在 JIRA 集成中添加了“修复版本”字段在扫描摘要页面中添加了“排队原因”。改进的 IP 限制逻辑改进了“未实施 SameSite Cookie”安全检查改进了“JWT签名未验证”安全检查已解决的问题代理凭据现在已在 InvictiProxy 日志中正确屏蔽。修复了扫描摘要页面上缺失的已知问题和 CVE 详细信息。修复了手动禁用分配给已排队或正在进行的扫描任务的代理会导致这些扫描任务无限期卡住的问题。现在，系统会阻止禁用已分配扫描任务的代理，并显示清晰的错误消息。增强的 OAuth2 业务逻辑和加密实现修复了身份验证扫描期间导致登录失败的问题。由于自定义安全脚本中的语法错误，阻止扫描失败。修复了添加新证书时的布局问题修复了未持有 API Discovery 许可证的用户在“设置”>“常规”页面更新项目时看到“ApiHub 服务 URL 不能为空”错误的问题。修复了添加目标时“网站删除仍在继续”的问题修复了 Mend 集成中的空列表问题修复了 Linux/云代理无法解析请求查询参数前的密钥的问题更新后的 Java 传感器修复了确认短信的问题

使用/安装方法

1.解压打开Netsparkey.exe

2.选择URl进行测试即可

免责声明

获取方法

公众号回复20260121获取Invicti-Professional

👉点击加入内部VIP星球享受VIP资源👈

最后必看

本工具及文章技巧仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。为避免被恶意使用，本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。

在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具来源于网络，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.XXL-JOB常见漏洞汇总|XXL-JOB工具

3.最新xray1.9.11高级版下载Windows/Linux

4.最新Nessus2025.11.6版本主机漏洞扫描下载

渗透安全HackTwo

想了解星球福利回复:星球

微信号：关注公众号获取

扫码关注了解更多

喜欢的朋友可以点赞转发

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo 城北城北《WEB漏洞扫描器（新增企业版）Invicti-Professional-V26.10.0（自动化爬虫扫描漏洞）更新》