در پروژههای با دامنه وسیع (Large Scope)، بزرگترین چالش، مدیریت حجم انبوه دادهها و یافتن نقاطی است که از دید دیگران پنهان ماندهاند. شناسایی یا Recon، شالوده یک تست نفوذ موفق است؛ جایی که کیفیت اطلاعات جمعآوری شده، مستقیماً با موفقیت نفوذ رابطه دارد. در ادامه، ابزارهای کلیدی برای این فرآیند را بررسی میکنیم.
این ابزارِ کلاسیک برای پرسوجو از DNS جهت یافتن رکوردهای A، AAAA، MX و CNAME به کار میرود. در دامنههای بزرگ، از آن برای تاییدِ صحت زیردامنه (Subdomain)های کشف شده و درک ساختار زیرساخت IP هدف استفاده میشود. سرعت بالای آن در پرسوجوهای مستقیم، آن را به اولین ابزار برای عیبیابی DNS تبدیل کرده است. این ابزار برای متخصصان شبکه که نیاز به درک سریع از نگاشتهای اولیه دامنه دارند، حیاتی است.
یکی از قدرتمندترین ابزارهای شناسایی که از تکنیکهای متنوعی برای نگاشت کل شبکه استفاده میکند. Amass با ترکیب دیتابیسهای آنلاین، گواهینامههای SSL و جستجوی معکوس DNS، لیستی جامع از زیردامنهها را در اختیار شما قرار میدهد. توانایی آن در بصریسازی (Visualization) روابط بین داراییها، به پنتسترها اجازه میدهد تا دامنههای فراموششده یا “سایهوار” را بهراحتی شناسایی کنند. این ابزار برای تیمهای Red Team که به دنبال ترسیم کامل سطح حمله هستند، الزامی است.
ابزاری سبک و سریع که برای یافتن دامنهها و زیردامنهها از منابع عمومی و APIها طراحی شده است. تمرکز اصلی آن بر سادگی است؛ با دریافت یک دامنه اصلی، به جستجو در سوابق عمومی وب میپردازد تا داراییهای مرتبط را بیابد. برخلاف ابزارهای سنگین، Assetfinder به دلیل سرعت در اجرا، در مراحل اولیه Recon که نیاز به نتایج فوری دارید، بسیار کارآمد است. این ابزار برای اسکنهای سریع اولیه بسیار مناسب است.
این ابزار به دلیل دقت بالا در کشف زیردامنهها از منابعِ آنلاین (Passive Recon)، در میان پنتسترها محبوبیت زیادی دارد. Subfinder با اتصال به دهها منبع اطلاعاتی مانند VirusTotal، Shodan و Censys، لیستی تمیز و بدون نویز از زیردامنهها ارائه میدهد. قابلیت یکپارچگی آن با سایر ابزارها باعث میشود تا به راحتی در خط فرمان (Pipeline) اتوماسیون قرار گیرد. این ابزار برای کسانی که به دنبال حداکثر پوششِ داراییها هستند، ایدهآل است.
هنگامی که روشهای Passive شکست میخورند، Gobuster وارد عمل میشود تا با استفاده از لیست کلمات (Wordlist)، زیردامنههای احتمالی را حدس بزند. این ابزار با سرعت بسیار بالا، درخواستهای DNS را به سمت سرور هدف ارسال میکند تا دامنههای مخفی یا داخلی را پیدا کند. تنظیم دقیق لیست کلمات در این مرحله، کلید یافتن زیردامنههای حساسی است که ممکن است در دیتابیسهای عمومی نباشند. این ابزار برای اتمام شناساییِ تهاجمی (Active) ضروری است.
پس از یافتن لیستی از دامنهها، باید بفهمید کدامیک در حال اجرا بوده و پاسخ HTTP میدهند. Httprobe به طور خودکار دامنهها را بررسی کرده و پورتهای ۸۰ و ۴۴۳ را تست میکند تا سرورهای زنده را شناسایی کند. با این کار، شما وقت خود را برای بررسی دامنههای غیرفعال هدر نمیدهید. این ابزار به عنوان یک فیلتر هوشمند در خط فرمان، خروجیِ سایر ابزارها را برای مراحل بعدی آمادهسازی میکند.
در محیطهای بزرگ، جداسازی پروتکلها حیاتی است. برخی آسیبپذیریها فقط در محیطهای غیرامن (HTTP) رخ میدهند و برخی در پیکربندیهای SSL (HTTPS). با تفکیک این دو گروه، میتوانید ابزارهای مناسب برای تست نفوذ (مانند اسکنرهای آسیبپذیری وب یا ابزارهای تحلیل SSL) را هدفمندتر اجرا کنید. این کار باعث میشود تا ریسکها را بر اساس پروتکل و سطح امنیتِ انتقال داده، اولویتبندی کنید.
NMAP استانداردِ صنعتی برای کشف سرویسها و پورتها است. در دامنههای بزرگ، پس از یافتن IPهای زنده، NMAP به شما میگوید که چه سرویسهایی روی آنها در حال اجراست (مانند SSH، FTP یا دیتابیس). توانایی تشخیص نسخه سرویس (Version Detection) و سیستمعامل، به شما کمک میکند تا اکسپلویتهای مناسب را انتخاب کنید. این ابزار، قلب تپنده بخش Active Recon است و هیچ پنتستری بدون آن کامل نیست.
شناسایی دستی صدها وبسایت زمانبر است؛ EyeWitness با گرفتن اسکرینشات از تمام صفحات وب، کار را برای شما راحت میکند. این ابزار نه تنها اسکرینشات میگیرد، بلکه اطلاعات اولیه سرور و هدرها را نیز استخراج میکند. این کار اجازه میدهد تا به جای کلیک روی تکتک لینکها، به صورت بصری به دنبال صفحاتی با ظاهر مشکوک یا پنلهای ادمین بگردید. ابزاری فوقالعاده برای مدیریتِ بصری سطح حمله.
این سرویسِ آرشیوی، تاریخچهی تغییرات وبسایتها را در اختیار شما قرار میدهد. با جستجو در Wayback Machine، میتوانید دایرکتوریهای قدیمی، پارامترهای مخفی یا کدهای منبعِ فراموششدهای را بیابید که ممکن است حاوی آسیبپذیریهای امنیتی باشند. این ابزار برای کشفِ بخشهای “خاک گرفته” اما همچنان فعالِ وبسایت هدف، بینظیر است. راهی برای بازگشت به گذشته و یافتن حفرههای فراموششده.
موتور جستجوی اختصاصی برای دستگاههای متصل به اینترنت. برخلاف گوگل، Shodan به دنبال دستگاههای خاص مانند دوربینها، سرورهای وب و کنترلکنندههای صنعتی میگردد. با استفاده از آن میتوانید داراییهای شرکت که حتی خودشان از وجود آنها خبر ندارند را شناسایی کنید. این ابزار دیدِ بسیار عمیقی از سطح حمله در سطح اینترنت فراهم میکند. ابزاری استراتژیک برای یافتنِ نقاطِ ضعفِ زیرساختی.
مشابه Shodan، این سرویس دیتابیس بزرگی از تجهیزات متصل به اینترنت است که تمرکز ویژهای بر جزئیات فنی گواهینامهها و پیکربندیهای TLS دارد. اگر به دنبال یافتن زیرساختهایی با گواهینامههای SSL منقضی شده یا پیکربندیهای ضعیف هستید، Censys بهترین منبع است. دقت دادههای آن در تحلیلِ زیرساختِ سازمانهای بزرگ، به پنتسترها کمک میکند تا با دقت جراحی، اهداف را انتخاب کنند.
استفاده هوشمندانه از عملگرهای جستجوی گوگل برای یافتن فایلهای حساس (مانند logها، فایلهای پیکربندی یا دیتابیسها) که اشتباهاً ایندکس شدهاند. با ترکیب عبارات خاص، میتوانید در میانِ میلیاردها صفحه، اطلاعات حساسِ لو رفته شرکت را استخراج کنید. این روشِ Passive، اغلب آسیبپذیریهایی را پیدا میکند که هیچ اسکنری قادر به دیدن آنها نیست. ابزاری قدرتمند برای نفوذ از طریقِ دانشِ آشکار.
بسیاری از توسعهدهندگان به اشتباه، کدهای دارای پسورد یا کلیدهای API را در گیتهاب آپلود میکنند. گیتهاب معادن طلایِ اطلاعات برای مهاجمان است. با جستجوی نام شرکت یا دامنههای هدف، میتوانید اطلاعاتی پیدا کنید که به شما اجازه میدهد مستقیماً به محیطهای داخلی نفوذ کنید. بررسیِ ریپازیتوریهای عمومیِ کارمندانِ شرکت، اولین گامِ نفوذِ مدرن است.
شناسایی در دامنههای بزرگ، فرآیندی نیست که در یک مرحله تمام شود. این یک چرخه مداوم از کشف، تحلیل و طبقهبندی است. ابزارهایی که در اینجا بررسی شدند، از ترکیب متدهای Passive (مانند Google Dork و Wayback) و Active (مانند Nmap و Gobuster) تشکیل شدهاند. موفقیت در این مرحله، مستلزم آن است که بتوانید دادههای خامِ این ابزارها را به یک نقشه سطح حمله (Attack Surface Map) تبدیل کنید. به یاد داشته باشید: دانش شما از هدف، مهمتر از اکسپلویتهای شماست.