Nuovo a PT e vorrei testare le abilità di ricognizione.
In primo luogo, questa ricognizione è considerata passiva o attiva? Secondo, dovrei saltare in un'area grigia legale se avessi usato uno strumento come questo sul sito web di un negozio? Mi piacerebbe fare pratica ma sto avendo problemi a determinarlo.
In generale, tutto ciò che invia traffico direttamente al sito di un'azienda è considerato attivo piuttosto che passivo.
Ora la maggior parte delle organizzazioni si renderà conto che il traffico verso un sito pubblico è soddisfacente e non un attacco (purché non sia eccessivo per causare un Denial of Service) ma è un'area grigia legale come, per esempio, un ragno potrebbe colpire contenuti che la società considera non pubblici e che potrebbero causare una risposta da loro.
Consiglierei che mentre pratichi ti attieni a una delle tante applicazioni di test che possono essere scaricate, ad esempio Progetto di applicazioni Web interrotte OWASP
Leggi altre domande sui tag reconnaissance penetration-test