Acunetix. 版本12(Build 12.0.190206130 - Windows和Linux)已发布。此新构建使得录制可用于扫描受限区域的登录序列更容易,并提供支持提供浏览和WSDL作为扫描仪使用的导入文件。新版本包括良好数量的Web后门检查,堆栈跟踪披露在许多产品中,Oracle报告,Docker,Jenkins服务器和Adobe体验管理器中的漏洞。 Windows和Linux都提供了新的漏洞检查,更新和修复程序。

新的功能

  • 新的集成登录序列记录器 - 可以直接从Acunetix UI录制登录序列
  • Swagger(JSON和YAML)和WSDL可以用作导入文件

新的漏洞检查

  • 新检查多个Web后门
  • Elmah.AXD信息披露的新支票
  • Django堆栈迹线披露的新测试
  • ASP.NET中堆栈跟踪披露的新测试
  • ColdFusion堆栈迹线披露的新测试
  • Python中堆栈跟踪披露的新测试
  • Ruby中堆栈跟踪披露的新测试
  • Tomcat中堆栈跟踪披露的新测试
  • Grails中堆栈跟踪披露的新测试
  • Apache MyFaces中的堆栈跟踪泄露的新测试
  • Java中堆栈跟踪披露的新测试
  • GWT中堆栈跟踪披露的新测试
  • Laravel中堆栈迹线披露的新测试
  • 轨道中堆栈迹线披露的新测试
  • CakePHP中堆栈跟踪披露的新测试
  • Cherrypy堆栈迹线披露的新测试
  • 新目录列表漏洞检查
  • 新的错误消息漏洞检查
  • Oracle Reports Rwservlet Showenv的新测试
  • Docker Engine API的新测试可公开访问
  • Docker Registry API的新测试可公开访问
  • Jenkins Server用户枚举的新测试
  • Jenkins服务器弱凭证的新测试
  • 为Adobe Meverions Manager添加了以下新测试
    • DAY CQ WCM调试过滤器已启用
    • loginstatusservlet公开(允许BruteForce凭据)
    • 如果LoginStatusServlet暴露,则浏览一组默认AEM凭据
    • QueryBuilderFeedServlet公共访问,敏感信息可能会被暴露
    • 实现了由AEM代码暴露的一堆SWF文件的测试,该文件易受反映XSS的攻击
    • 测试AEM Groovy Console是否可公开访问。允许RCE.
    • 为公开的AEM ACS工具(AEM Developers的一组工具)添加了测试 - RCE是可能的
    • 测试是否可公开访问gqlservlet。敏感信息可能会被暴露
    • 测试是否可公开访问Adobe Meverion Manager AuditLogServlet。审核日志记录可能会被暴露
    • 测试  服务器端请求伪造(SSRF) 通过SalesforcesEcreservlet(CVE-2018-5006)
    • 通过ReportingServicesservlet测试服务器端请求伪造(SSRF)
    • 检测到通过SiteCatalyServlet测试服务器端请求伪造(SSRF)

更新

  • 使用肥皂改进了站点的扫描
  • 改善了解析路径
  • 导入现在优先于排除路径
  • 改善了扫描范围的依从性
  • 改进了WordPress插件版本的检测
  • 改进了LSR中的自动会话模式检测
  • localstorage / sessionstorage保留在LSR和DeepScan会话之间

修复

  • 修复:扫描范围并不总是尊重
  • 扫描期间检测到的技术未被报告
  • 修复了几个扫描仪意外的终止问题
  • 修复了导致不生成大的PDF报告的问题
  • 固定的:   Acusvesor.  文件数据由扫描仪更好地过滤。

Source://www.acunetix.com/blog/