文章总结： 本文介绍Web漏洞扫描器InvictiProfessionalV26.20.0版本更新。该工具支持自动化检测SQL注入、XSS等漏洞，新版本增强SEM集成与OAuth2支持，优化DOMXSS模拟与增量扫描逻辑，并修复报告生成问题。文章附带安装教程与获取方式，强调需合法授权使用。 综合评分： 70 文章分类： 安全工具,WEB安全,漏洞分析

WEB漏洞扫描器Invicti-Professional-V26.20.0（自动化爬虫扫描漏洞）更新

原创

城北 城北

渗透安全HackTwo

2026年3月3日 00:00 广东

前言

Invicti 专业 Web 应用程序安全扫描器

自动、极其准确且易于使用的 Web 应用程序安全扫描程序，可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。

Invicti Professional Edition 是一款商业 Web 应用程序安全扫描器。它旨在自动查找和修复 Web 应用程序中的 SQL 注入、跨站脚本 (XSS) 和跨站请求伪造 (CSRF) 等漏洞。

它可以扫描托管在各种平台上的 Web 应用程序，包括 Windows、Linux 和 macOS。它提供了一系列功能来帮助开发人员和安全专业人员识别和修复其 Web 应用程序中的漏洞，包括可以识别各种漏洞的自动扫描程序，以及允许用户手动测试漏洞的手动测试工具。它可以作为独立产品或云服务提供。

新增全新的企业版

一些基本的安全测试应包括测试：

• SQL注入
• XSS（跨站脚本）
• DOM跨站脚本攻击
• 命令注入
• 盲命令注入
• 本地文件包含和任意文件读取
• 远程文件包含
• 远程代码注入/评估
• CRLF / HTTP 标头注入 / 响应分割
• 打开重定向
• 帧注入
• 具有管理员权限的数据库用户
• 漏洞 – 数据库（推断的漏洞）
• ViewState 未签名
• ViewState 未加密
• 网络后门
• TRACE / TRACK 方法支持已启用
• 禁用 XSS 保护
• 启用 ASP.NET 调试
• 启用 ASP.NET 跟踪
• 可访问的备份文件
• 可访问的 Apache 服务器状态和 Apache 服务器信息页面
• 可访问的隐藏资源
• 存在漏洞的 Crossdomain.xml 文件
• 易受攻击的 Robots.txt 文件
• 易受攻击的 Google 站点地图
• 应用程序源代码公开
• Silverlight 客户端访问策略文件存在漏洞
• CVS、GIT 和 SVN 信息和源代码公开
• PHPInfo() 页面可访问以及 PHPInfo() 在其他页面中的披露
• 可访问敏感文件
• 重定向响应主体太大
• 重定向响应 BODY 有两个响应
• 通过 HTTP 使用不安全的身份验证方案
• 通过 HTTP 传输的密码
• 通过 HTTP 提供的密码表单
• 暴力破解获取认证
• 通过 HTTP 获取的基本身份验证
• 凭证薄弱
• 电子邮件地址泄露
• 内部IP泄露
• 目录列表
• 版本公开
• 内部路径泄露
• 访问被拒绝的资源
• MS Office信息披露
• 自动完成已启用
• MySQL 用户名泄露
• 默认页面安全性
• Cookie 未标记为安全
• Cookie 未标记为 HTTPOnly
• 堆栈跟踪披露
• 编程错误信息披露
• 数据库错误信息披露

01

更新介绍

#新功能新增了对使用客户端证书身份验证的 SEM 集成支持在 OAuth2 选项卡中新增了对使用密钥的支持身份验证时新增了 .har 文件下载#改进Invicti.Common.Browser.Driver 的 Node 版本已更新至 v20.20.0已将 Shark.Java 包从版本 20 升级到版本 21改进的登录失败通知增量扫描现在可以正确检测新增页面和已修改页面，并且在没有更改时不执行任何操作。改进的 DOM XSS 模拟#已解决的问题修复了影响“详细扫描报告”生成的问题。修复了创建知识库条目时出现的问题。秘密部分的信息面板已更新

02

使用/安装方法

1.解压打开Netsparkey.exe

2.选择URl进行测试即可

03

免责声明

获取方法

公众号回复20260303获取Invicti-Professional

👉点击加入内部VIP星球享受VIP资源👈

后台回复 “加群” 可加入公开交流群

最后必看

本工具及文章技巧仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。为避免被恶意使用，本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。

    在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具来源于网络，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

    在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

往期推荐

1.内部VIP知识星球福利介绍V1.5（AI自动化）

2.Burpsuite2026.2

3.XXL-JOB常见漏洞汇总|XXL-JOB工具

4.最新xray1.9.11高级版下载Windows/Linux

5.最新Nessus2026.02.6版本主机漏洞扫描下载

渗透安全HackTwo

想了解星球福利回复:星球

微信号：关注公众号获取

扫码关注 了解更多

喜欢的朋友可以点赞转发

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo 城北 城北《WEB漏洞扫描器Invicti-Professional-V26.20.0（自动化爬虫扫描漏洞）更新》