Surfando pela Internet atrás de algumas ferramentas interessantes para suportar a tarefa de hardening de servidores web, dei de cara com o Sandcat, um scanner de vulnerabilidades em aplicações web com funcionalidades bem interessantes. De acordo com o site da Syhunt, a fabricante do Sandcat,

o software permite aos administradores executarem varreduras agressivas e abrangentes do servidor web de uma organização para isolar vulnerabilidades e identificar falhas de segurança.

Resolvi brincar um pouco e subi uma máquina virtual com servidor web básico. A receita do bolo é a seguinte:

- VMware para rodar a máquina virtual;

- CentOS 5;

- Apache, Tomcat,…

- WebGoat

Escolhi o WebGoat por um motivo bem simples: É uma aplicação que possui falhas de segurança propositais e bem documentadas, o que permite explorar bastante testes de ferramentas como o Sandcat.

A ferramenta é compatível apenas com a família Windows, o que pode deixar os linuxers de carteirinha um pouco chateados. Mas vale a pena instalar uma máquina virtual para usar o bicho. No geral, é fácil de usar e os relatórios gerados são muito claros. A entrada é simples, basta o hostname/IP da máquina-alvo ou uma URL. Também é possível escolher entre um relatório completo ou combinações de ataques e varreduras.

  • Relatórios

Os relatórios são em formato semelhante ao Nessus. Fornecem uma descrição da vulnerabilidade, o risco e uma sugestão para solução do problema. O relatório seria ainda mais útil se as sugestões fossem mais conclusivas. Existe a possibilidade de escolha em que formato os relatórios serão pagos, mas apenas na versão paga.

  • Testes

Algo que não gostei muito foi o fato do Sandcat executar testes para servidores Windows em servidores Linux, mesmo fazendo um reconhecimento (correto) prévio do host.

O Sandcat relatou uma enxurrada de falsos positivos, o que definitivamente atrapalha uma boa análise dos resultados. Pretendo repetir os testes de forma mais sistemática para ter uma noção real do que a ferramenta é capaz.

Na próxima semana, posto o resultado dos testes e faço uma análise mais profunda do Sandcat.

Abraços!

-Daniel