Sandcat – Scanner de vulnerabilidades de sistemas e servidores web

Autor: Pedro Augusto de O. Pereira / http://augusto.pedro.googlepages.com/

Considere o Sandcat um NMap especializado em varrer servidores web (como IIS ou Apache) e aplicações web (o seu site!). Isso facilita muito, pois você pode testar um determinado site ou servidor procurando por vários tipos de falhas como SQL Injection, Blind SQL Injection, XSS, XPath Injection, etc.

Existem várias opções para este tipo de aplicativo, a que mais gosto e uso regularmente é o scanner da Acunetix, chamado Web Vulnerability Scanner. Uma outra opção que tenho usado há alguns dias e gostado bastante é o Sandcat, da empresa Syhunt.

Ela é gratuita para ser utilizada e bem completa (bem próxima do nível do Web Vulnerability Scanner, da Acunetix). Ele checa por, aproximadamente, 260 vulnerabilidades conhecidas (utilizando o ranking de várias entidades como OWASP, OWASP PHP, CVE, CWE, etc), detecta falhas de XSS (Cross Site Scripting), testas sistemas IDS, consegue explorar sistemas web desenvolvidos utilizando AJAX, descobre e analisa a configuração utilizada no servidor automaticamente para descobrir quais testes são necessários, etc.

Além de checar o que pode ser explorado na sua aplicação web, ele também analisa o que pode ser explorado no seu servidor web. No website oficial do produto, é declarado que ele tem compatibilidade total com o Microsoft IIS. Porém já li opiniões e testei pessoalmente o programa utilizando Apache e também tive bons resultados.

Sem dúvida é um download recomendado, porém até agora só há opção para Windows (95, 98, Me, NT, 2000, 2003, XP e Vista). Faça o download aqui.

  • Julio Risso

    Olá amigo….Há algum tutorial que possa saber mais como utilizar e ferramentas do SANDCAT