Acunetix 版本12(内部版本12.0.190206130 – Windows和Linux)已经发布。这个新版本使记录登录序列(可用于扫描受限区域)更加容易,并提供了将Swagger和WSDL作为导入文件提供给扫描仪使用的支持。新版本包括针对Web后门的大量漏洞检查,许多产品中的堆栈跟踪披露,Oracle Reports,Docker,Jenkins服务器和Adobe Experience Manager中的漏洞。 Windows和Linux都可以使用新的漏洞检查,更新和修补程序。

新的功能

  • 新的集成登录序列记录器–登录序列可以直接从Acunetix UI记录
  • Swagger(JSON和YAML)和WSDL可用作导入文件

新的漏洞检查

  • 大量Web后门的新检查
  • Elmah.axd信息泄露的新检查
  • Django中堆栈跟踪披露的新测试
  • ASP.NET中堆栈跟踪披露的新测试
  • ColdFusion中堆栈跟踪披露的新测试
  • Python中堆栈跟踪披露的新测试
  • Ruby中堆栈跟踪披露的新测试
  • Tomcat中堆栈跟踪披露的新测试
  • Grails中堆栈跟踪披露的新测试
  • Apache MyFaces中堆栈跟踪披露的新测试
  • Java中堆栈跟踪披露的新测试
  • GWT中堆栈跟踪披露的新测试
  • Laravel中堆栈跟踪披露的新测试
  • Rails中堆栈跟踪披露的新测试
  • CakePHP中堆栈跟踪披露的新测试
  • CherryPy中堆栈跟踪披露的新测试
  • 新的目录列表漏洞检查
  • 新的错误消息漏洞检查
  • Oracle Reports RWServlet showenv的新测试
  • 可公开访问的Docker Engine API的新测试
  • 可公开访问的Docker Registry API的新测试
  • Jenkins服务器用户枚举的新测试
  • Jenkins服务器弱凭证的新测试
  • 为Adobe Experience Manager添加了以下新测试
    • 启用每日CQ WCM调试过滤器
    • LoginStatusServlet暴露(允许使用暴力破解凭据)
    • 如果暴露了LoginStatusServlet,则暴力破解一组默认的AEM凭证
    • QueryBuilderFeedServlet公共可访问的敏感信息可能被公开
    • 对AEM代码暴露的易受Reflected XSS攻击的一堆SWF文件实施了测试
    • 测试AEM Groovy控制台是否可公开访问。允许RCE
    • 添加了针对暴露的AEM ACS工具(AEM开发人员的一组工具)的测试–可以进行RCE
    • 测试GQLServlet是否可以公共访问。敏感信息可能会暴露
    • 测试Adobe Experience Manager AuditLogServlet是否可公开访问。审核日志记录可能会暴露
    • 测试  服务器端请求伪造(SSRF) 通过SalesforceSecretServlet(CVE-2018-5006)
    • 通过ReportingServicesServlet测试服务器端请求伪造(SSRF)
    • 检测到通过SiteCatalystServlet进行的服务器端请求伪造(SSRF)测试

更新

  • 改进了使用SOAP的站点扫描
  • 改进的路径解析
  • 现在,TXT导入优先于排除的路径
  • 改进了扫描范围的遵守
  • 改进了对WordPress插件版本的检测
  • 改进了LSR中的自动会话模式检测
  • LSR和Deepscan会话之间保留LocalStorage / SessionStorage

修正

  • 固定:扫描范围并不总是受到尊重
  • 没有报告扫描过程中检测到的技术
  • 修复了多个扫描仪意外终止的问题
  • 解决了导致无法生成大型PDF报告的问题
  • 固定:   AcuSensor  扫描仪可以更好地过滤文件数据。

Source://www.acunetix.com/blog/