免费的高级Web应用程序安全测试工具

【转载】 hackbase 09年12月22日

比起Appscan和webinspect以及WVS，还有国产的zwell开发的JSKY，SandCat这款工具可能稍微逊色了点，但是毕竟作为免费的工具比较少，下面就来介绍一下这个工具的功能界面如下：

SandCat 这是一个了不起的工具来工作。SandCat有两个版本-自由与专业版。SandCat所具有功能：

* 缓冲区溢出

* Cookie Manipulation *Cookie 修改

*命令执行

* CRLF注入

* Cross Frame Scripting *跨帧脚本

* 跨站点脚本（ XSS ）

* Default Account *默认帐户

* 目录列表

* 目录遍历

* 文件包含

* 敏感信息泄露

* LDAP 注入

* MX 注入

* Password Disclosure 密码泄露

* Path Disclosure *路径泄露

* PHP代码注入

* 固有漏洞： IIS中/ iPlanet /其他

* Source Code Disclosure * 源代码公开

* SQL注入

* XPath Injection *XPath注入

* 杂项

它还执行下列应用程序会检查：

* Backup Files *备份文件

* Common Exposures： Dangerous Methods， Default Content， Internal IP Address Disclosure *共同暴露：危险方法，默认内容，内部IP地址信息披露

*常见的文件和文件夹

* Common Vulnerable Scripts： ASP， ASP .Net， PHP， JSP， Perl

* Email Form Hijacking *电子邮件劫持

* Outdated Server Software *过时的服务器软件

* Path Disclosure *路径泄露

* Source Code Disclosure * 源代码公开

* Suspicious HTML Comments *可疑的HTML评论

* Unencrypted Login *未加密的登录

* Web-Based Backdoors *基于Web的后门

* Compliance： OWASP Top 10， PHP Top 5 *遵守： OWASP十大， PHP的最常见的5个

* Fault Injection： Parameter Tampering， Form Field Manipulation *故障注入：参数篡改，表单域操纵

It can also perform these Server Checks：它也可以执行这些Server检查：

* CGI， CGI-Bin & CGI-Local Folders *共同闸道介面， cgi – bin目录和CGI方式，本地文件夹

* CGI-Sys *的CGI -系统

* Common Files and Folders *常见的文件和文件夹

* Common Server Vulnerabilities： Cisco IOS， ColdFusion， Domino， IIS， NCSA， FrontPage， FrontPage CGI *通用服务器漏洞：思科IOS ， ColdFusion ，多米诺， IIS中，国家能力自评时， FrontPage ， FrontPage中的CGI

* Common Vulnerable Scripts： ASP， ASP .Net， PHP， JSP， Perl *共同弱势脚本： ASP技术， ASP技术。净的， PHP ， JSP的，的Perl

* Compliance： SANS Top Twenty *遵守： SANS的前20

* Database Disclosure * 数据库披露

* Denial-of-Service *拒绝服务

* IDS Testing *入侵检测系统测试

* Old/Backup Files： Common Backup Folders & Files *旧/备份文件：共同的备份文件夹和文件

* Outdated Server Software *过时的服务器软件

* Web-Based Backdoors *基于Web的后门

* WinCGI * WinCGI

下载链接：

http：//www.syhunt.com/downloads/sandcat-3.9pr.exe