La reconnaissance è il punto in cui inizia quasi ogni attacco di successo e ogni test di successo. Prima di poter trovare una vulnerabilità, devi sapere cosa esiste. La recon è il processo disciplinato di scoperta e mappatura di tutto ciò che un bersaglio espone, dai domini alle API, dalle tecnologie alle persone. È la prima fase di quasi ogni metodologia offensiva, e quella che più spesso distingue i tester produttivi da quelli frustrati.
Perché è importante
La qualità della tua reconnaissance pone un tetto a tutto ciò che segue. Non puoi sfruttare un endpoint che non hai mai trovato, testare una API che non hai mai scoperto o concatenare una vulnerabilità su un sottodominio che non hai mai enumerato. È per questo che i penetration tester esperti e i ricercatori di bug bounty dedicano spesso la maggior parte del loro tempo alla recon: una mappa più ampia e più accurata della superficie di attacco si traduce quasi sempre in risultati più numerosi e migliori.
I bug che gli altri si lasciano sfuggire vivono di solito nelle parti della superficie di attacco che nessuno si è preso la briga di mappare: una vecchia versione di API, un sottodominio dimenticato, un server di staging con una sicurezza più debole o un endpoint non documentato nascosto in un file JavaScript. La recon è il modo in cui li trovi per primo.
Reconnaissance passiva vs attiva
In un programma di bug bounty devi mantenere la recon attiva rigorosamente entro lo scope pubblicato e i limiti di rate, perché una scansione aggressiva può essere considerata un attacco.
Il workflow della reconnaissance
Un flusso tipico procede dal meno invasivo al più invasivo:
- OSINT passiva per conoscere l'organizzazione, i suoi brand e la sua impronta pubblica.
- Enumerazione dei sottodomini per espandersi da un singolo dominio all'intero patrimonio di asset.
- Scansione di porte e servizi con Nmap per vedere cosa è in esecuzione.
- Content e endpoint discovery per mappare l'applicazione stessa.
Tecniche e strumenti di recon fondamentali
- Enumerazione dei sottodomini con Amass e Subfinder per trovare asset oltre il sito principale.
- Content e endpoint discovery con ffuf e Gobuster.
- Analisi del JavaScript per estrarre percorsi API nascosti e chiavi trapelate.
- Google dorking per far emergere file esposti e policy di disclosure.
- Certificate transparency (crt.sh) per scoprire hostname dai certificati TLS emessi.
- Fingerprinting tecnologico per conoscere i framework in uso e colpire le debolezze note.
La recon nella pratica
Per una singola applicazione, la recon significa registrare account, elencare ogni funzionalità e ruolo utente e trovare la documentazione come i file Swagger: esattamente il processo strutturato di mappatura descritto nella nostra guida su come scegliere il tuo primo obiettivo di bug bounty. Per il lavoro a livello di rete, abbina la recon a una metodologia formale e a framework come MITRE ATT&CK, che cataloga la reconnaissance come la prima fase delle intrusioni reali.
La recon non è una casella da spuntare una volta sola per poi passare oltre. I tester migliori vi tornano lungo tutto l'incarico, perché ogni nuovo risultato rivela nuove parti della superficie di attacco che vale la pena mappare.
Come insegniamo Reconnaissance (Recon)
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Reconnaissance (Recon). Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 10: Penetration Testing e Hacking Etico
360+ ore di formazione esperta • CompTIA Security+ incluso