Pillole di #penetrationtest

Possiamo eseguire un processo di penetration test Internet Face (ossia osservando l'obiettivo da Internet) con soli strumenti online?

L'analisi di applicazioni esposte su Internet può richiede un cambio di arsenale: se questo tipo di analisi non è per noi una eccezione, potremmo trovarci con un arsenale inadeguato: perché allora pagarne gli oneri di miglioramento?

Potremmo più pragmaticamente orientarci verso una soluzione rapida fornitaci da strumenti online che abbiano la qualità funzionale desiderata.

Naturalmente non tutti i servizi online sono completamente gratuiti: hanno magari alcuni giorni di trial, oppure altre forme di limitazione in assenza di licenza; ma possono essere comunque una alternativa a strumenti di analisi offline che dobbiamo comunque acquisire o configurare.

Questo è quanto abbiamo trovato in Internet e vi proponiamo:

Per la ricognizione:

• https://www.google.com
• https://www.exploit-db.com/google-hacking-database
• https://www.waybackmachine.org/
• http://whois.domaintools.com/
• https://mxtoolbox.com/
• https://pentest-tools.com/information-gathering/find-subdomains-of-domain#
• https://dnsdumpster.com/

Per lo scanning:

• https://ping.eu/
• https://pingtool.org/
• https://sitereport.netcraft.com/
• https://www.shodan.io/

Per il vulnerability assessment:

• https://pentest-tools.com/website-vulnerability-scanning/website-scanner

Anche la valutazione robustezza password:

• https://howsecureismypassword.net/

Naturalmente questa è solo una piccola selezione. A voi la scelta e la ricerca di ulteriori strumenti online.

Tweet