Na etapie rozpoznania

W tej fazie testu możemy stosować metody aktywne i pasywne. Każda z nich ma swoje wady i zalety. Z reguły rozpoczyna się od tych drugich, tak aby działania aktywne nastąpiły możliwie późno, gdyż one powodują, że zaczynamy istnieć w kronikach celu. Rekonesans pasywny to w dużej mierze korzystanie z dobrodziejstw wyszukiwarek. Staramy się zwyczajnie zebrać dużo informacji o celu. Częstym problem jest usystematyzowanie tej wiedzy i zbudowanie bazy informacji. Do tego możemy użyć bardzo wdzięcznego i wykorzystywanego choćby przez organy ścigania narzędzia Maltego. Jest to platforma do data-miningu i wizualizacji powiązań pomiędzy informacjami. Możemy za jego pomocą gromadzić wiedzę o sieciach czy domenach i wyszukiwać np.:

• Nazwy domenowe i DNS

• Informacje z Whois

• Adresy IP i przestrzenie adresowe

Możemy także zbierać informacje o ludziach poprzez wyszukiwanie powiązanych z poszukiwaną osobą:

• adresów e-mail

• serwisów WWW

• numerów telefonów

• grup zainteresowań

• organizacji i firm

Poprzez pluginy i dodatki możemy też przeszukiwać całe blogi pod kątem zdefiniowanej aktywności czy pobierać metadane z plików udostępnionych w obrębie domeny.

Innym interesującym narzędziem do gromadzenia informacji o celu jest FOCA (Footprinting Organizations with Collected Archives). Wyszukuje serwery, domeny, URLe i publicznie dostępne dokumenty. Następnie wyłuskuje dodatkowe informacje np. poprzez analizę metadanych dokumentów (listingi katalogów, nazwy oprogramowania, nazwy użytkowników), pokazuje niebezpieczne metody http, gromadzi pliki ".listing" czy DS_Store.

Dalej możemy posłużyć się trochę mniej popularnym narzędziem tj. Fierce Domain Scan. Jest to skrypt napisany w Perlu, który automatyzuje proces przeszukiwania całych domen pod kątem istnienia potencjalnych celów. Fierce szuka w pierwszej kolejności w naszym DNS serwerów DNS celu. Potem podłącza się do tych serwerów i próbuje pobrać rekordy SOA (oczywiście, jeśli serwer DNS nie został do końca dobrze skonfigurowany). Z reguły ten krok się nie udaje, więc dalej - posługując się słownikiem - szuka typowych nazw, które mogą występować w ramach domeny. Jeśli tylko natrafi na aktywny adres IP pod daną nazwą szuka innych adresów IP w danym zakresie (domyślnie 5 w górę i 5 w dół) sprawdzając przez revDNS, czy należą do tej samej domeny. Fierce potrafi także wykonać wskazaną przez nas komendę, jeśli natrafi na aktywny serwer WWW.

Skoro jesteśmy przy serwisach webowych warto wspomnieć o narzędziach, które pozwalają na pobranie zawartości stron w celu późniejszej analizy (offline) np. HTTrack lub identyfikują technologie wykorzystane do zbudowania serwisu np. WhatWeb.

Możemy też pójść na skróty i od razu poddać badany serwis sprawdzeniu pod kątem najczęściej występujących podatności takich jak SQL Injection, CSS, file inclusion, CSRF. Do tego celu świetnie nada się Websecurify.