Invicti – продукт, призначений для допомоги автоматизування роботи в пошуку вразливостей в веб-додатку, веб-сервісу, веб-сайту. Invicti може сканувати всі типи веб-додатків, незалежно від платформи або мови, на якій вони створен. Також, він виконує автоматичну оцінку вразливості, що саме допомогає розставити пріоритети в роботі по усуненню проблем. Доступна функція автоматичного виявлення поточних вебресурсів для уникнення ресурсно-затратних ручних процедур. Переваги використання Invicti: економія часу для команди з кібербезпеки. Сканер працює за автоматизованим сценарієм для знаходження вразливостей; сканер не потребує від користувача глибоких знань з кібербезпеки. Звіти по сканування буде детально відповідати на всі знайдені вразливості. Наприклад, якщо – це sql injection, сканер зазначе ім’я таблиці та потенційно можливо заражене поле; для QA тестувальників корисний порадник для аргументації команді розробників в знаходженні вразливості або бекдор. Із особливо важливого, продукт сканує та автоматично перевіряє всі типи застарілих і сучасних вебдодатків, таких як HTML5, Web 2.0 та односторінкові додатки (SPA), а також вебресурси, захищені паролем.
Для виділення уваги на потенційному збитку та терміновості, кожній вразливості автоматично присвоюється рівень серйозності, з якою вона повинна бути усунута. Відбувається постійне сканування Інтернету, службою виявлення активів, для виявлення призначених для користувача активів на основі IP-адрес, доменів верхнього і другого рівня, а також інформації про сертифікати SSL. Вразливості, які знаходить Invicti – Blind SQL Injection, Server-side Template Injection, SQL Injection, Blind Command Injection, Local File Inclusion (LFI), Injection via Local File Inclusion, Boolean SQL Injection, Remote File Inclusion (RFI), Command Injection, XML External Entity (XXE) Injection, Remote Code Evaluation. Також Invicti включає в себе вбудовані функції управління командою та управління вразливостями, які можна використовувати для створення ролей, призначення проблем, огляду процесів виправлення і повторного тестування після завершення.
Сайт може бути яким завгодно, залежно від того, який сайт ви захочете перевірити (відсканувати на пошуки уразливостей у веб-додатку, веб-сервісу, веб-сайту).
Вибираємо сертифікат Extensive Security Checks.
Для перегляду всіх загроз, які покриває сертифікат.
Під час сканування з політикою, яка включає перевірки безпеки на основі SSRF, Invicti Standard може звернутися до сервера, щоб виявити існування деяких вразливих місць. У запитах є абсолютно нульова ідентифікована інформація, яка може відстежувати запит до клієнта. В даному випадку можна як відмовитися натиснувши Clear and Next або погодитись і натиснути Next.
Даний тип звіту більше узагальнений та показує фінальний етап сканування зі всією зібраною статистикою та описом можливих сценаріїв стосовно веб-сайту.