De beste zoekmachines voor Pentesters

Search engines voor pentesters zijn gespecialiseerde zoekmachines waarmee beveiligingsonderzoekers, ethical hackers en penetration testers informatie kunnen verzamelen over systemen, netwerken, applicaties en datalekken. Deze tools spelen een belangrijke rol binnen Open Source Intelligence (OSINT) en ondersteunen het in kaart brengen van potentiële kwetsbaarheden zonder directe interactie met het doelwit.

Deze zoekmachines zijn anders dan de bekende zoekmachines als Google of Bing. Ze zijn gebouwd voor specifieke doelen zoals:

• Het ontdekken van openstaande poorten of kwetsbare services
• Het analyseren van SSL-certificaten of misconfiguraties
• Het zoeken naar gelekte e-mailadressen of API keys
• Het verzamelen van threat intelligence over IP-ranges of domeinen
• Het indexeren van broncode in publieke repositories

Deze tools maken gebruik van geavanceerde technieken zoals internet-wide scans, certificate transparency logs, passieve data-verzameling en deep packet inspection. Ze leveren waardevolle inzichten op die worden ingezet bij hacking-simulaties en Red Team-operaties.

Wat zijn search engines in cybersecurity?

Search engines in cybersecurity zijn platforms die grote hoeveelheden informatie verzamelen, analyseren en doorzoekbaar maken. Denk hierbij aan:

• Servers die per ongeluk publiek beschikbaar zijn gesteld
• Devices die via het internet benaderbaar zijn, zoals camera’s of routers
• Domeinnamen gekoppeld aan specifieke infrastructuur
• Publiek beschikbare code of configuratiebestanden

Het verschil met gewone zoekmachines zit in de inhoud en toegang. Terwijl Google vooral webpagina’s indexeert, richten deze cybersecurity tools zich op netwerkdata, infrastructuur en gevoelige metadata.

Waarom pentesters deze tools gebruiken

Pentesters zetten deze tools in om zonder directe aanval al veel informatie te verzamelen. Dat maakt ze waardevol voor onder andere:

• Reconnaissance: het verkennen van een doelwit vóór actieve scans plaatsvinden
• Attack Surface Mapping: inzicht krijgen in systemen en assets die publiekelijk beschikbaar zijn
• Vulnerability Hunting: gericht zoeken naar foutieve configuraties of kwetsbare versies van software
• Leak Detection: ontdekken van e-mailadressen, credentials of data die onbedoeld openbaar is

Deze manier van werken is efficiënt, minder opvallend en voorkomt dat het doelwit direct wordt benaderd of gewaarschuwd.

Verschil tussen OSINT, threat intelligence en server search

Er bestaan verschillende categorieën binnen de wereld van search engines voor pentesters. Elke tool richt zich op een eigen stuk van de informatiepuzzel:

• OSINT-tools (zoals IntelX en Hunter.io): gericht op het verzamelen van openbare informatie uit diverse bronnen zoals sociale media, databases en pastebin-sites.
• Threat Intelligence-tools (zoals GreyNoise en Pulsedive): leveren context over IP-adressen, malwarecampagnes en bekende aanvallen.
• Server Search-tools (zoals Shodan, Censys en Onyphe): indexeren servers en devices wereldwijd en tonen kwetsbaarheden of foutieve configuraties.
• Code Search-tools (zoals grep.app en Searchcode): zoeken naar publiek gedeelde broncode, API keys en configbestanden op platforms als GitHub.
• Attack Surface Management-tools (zoals Netlas en FullHunt): bieden inzicht in het totale aanvalsoppervlak van een organisatie.

De overlap tussen deze categorieën is soms groot. Een pentester kiest afhankelijk van het doel de juiste combinatie van tools.

1. Shodan.io (Server)

Shodan.io server search is een van de meest gebruikte tools binnen penetration testing. Deze zoekmachine scant continu het internet op apparaten en systemen die via publieke IP-adressen bereikbaar zijn. Denk aan routers, camera’s, industriële systemen, webservers en IoT-devices. De tool wordt vaak omschreven als de “search engine for the Internet of Things”.

Shodan is niet bedoeld om websites te indexeren, maar focust zich op technische details van apparaten: open poorten, bannerinformatie, gebruikte software en zelfs foutmeldingen. Voor pentesters is dit een krachtig middel om snel zicht te krijgen op kwetsbare systemen die per ongeluk of onwetend aan het internet hangen.

Wat is Shodan en hoe werkt het?

Shodan werkt op basis van een continu draaiend netwerk van scanners die poorten en services op het internet afspeuren. Deze informatie wordt opgeslagen in een doorzoekbare database.

De zoekmachine toont onder andere:

• IP-adres en hostnaam
• Land en stad van herkomst
• Open poorten en gebruikte protocollen
• Bannerinformatie van services zoals FTP, SSH, HTTP
• Versienummers van software en gebruikte certificaten

Een eenvoudige zoekopdracht als port:21 country:NL levert alle FTP-servers in Nederland op die publiekelijk bereikbaar zijn.

Shodan maakt gebruik van filters zoals:

• org: voor specifieke organisaties
• hostname: voor bepaalde domeinen
• os: om het besturingssysteem te detecteren
• product: om gerichte softwareversies op te sporen

Voorbeelden van apparaten die je kunt vinden

Shodan onthult vaak apparaten die onbedoeld op het internet staan. Enkele veelvoorkomende voorbeelden:

• Beveiligingscamera’s zonder wachtwoord of met standaard inlog
• Industriële systemen (SCADA/ICS) die nooit direct toegankelijk horen te zijn
• Printers en netwerkshares met gevoelige documenten
• Databases zoals MongoDB of Elasticsearch zonder authenticatie
• Remote desktopservices met verouderde versies

Veel van deze systemen zijn kwetsbaar voor exploits, vooral als ze draaien op oude firmware of slecht geconfigureerde firewalls.

Voordelen en risico’s van gebruik

Voordelen voor pentesters:

• Snel overzicht van de attack surface van een organisatie
• Detectie van shadow IT of ongepatchte systemen
• Input voor rapportages en risico-inschatting
• Passieve reconnaissance zonder directe interactie

Risico’s of aandachtspunten:

• Shodan-gegevens kunnen verouderd zijn; bevestiging via actieve scans is nodig
• Niet alles wat Shodan toont is daadwerkelijk kwetsbaar
• Verkeerd gebruik of ongeautoriseerde scanning kan leiden tot juridische problemen
• Sommige apparaten zijn expres publiek toegankelijk (denk aan honeypots)

Shodan in een pentest workflow

Shodan is vooral waardevol in de beginfase van een pentest: de reconnaissance-fase. Het helpt om doelwitten te selecteren, kwetsbare services te identificeren en prioriteiten te stellen.

Praktisch gebruik:

• OSINT voorafgaand aan een test: Zoek publieke IP’s gekoppeld aan het domein van het doelwit
• Identificatie van exposed assets: Zoals testservers of vergeten apparaten
• Verificatie van configuraties: Check of beveiligingsmaatregelen zoals VPN-tunnels effectief zijn
• Onderbouwing van bevindingen: Screenshots uit Shodan kunnen als bewijs dienen in rapportages

Daarnaast biedt Shodan een API die eenvoudig te integreren is in eigen scripts of tools. Hierdoor is geautomatiseerde analyse van grotere datasets mogelijk.

2. Google.com (Dorks)

Google Dorks pentesting is een krachtige techniek waarbij geavanceerde zoekopdrachten worden gebruikt om gevoelige of slecht beveiligde informatie op websites te vinden via Google. Deze methode, ook wel Google Hacking genoemd, is verrassend effectief en vereist geen speciale tools. Alleen een browser en een goed begrip van de zoekoperators zijn genoeg om waardevolle data boven water te halen.

Voor pentesters is het een snelle en stille manier om kwetsbaarheden bloot te leggen, zoals open directory’s, config-bestanden, exposed API keys of inlogpagina’s van beheersystemen. Het grote voordeel: de dork-opdrachten maken gebruik van publieke data die al door Google is geïndexeerd, waardoor dit volledig passief is.

Wat zijn Google Dorks?

Google Dorks zijn zoekopdrachten die gebruikmaken van advanced search operators. Deze operators filteren de resultaten op basis van specifieke criteria zoals bestandstype, locatie op de website, of exacte woordencombinaties in URL’s of titels.

Voorbeelden van veelgebruikte operators:

• site: beperkt de zoekopdracht tot een specifieke website of domein
• filetype: zoekt naar bestanden met een bepaalde extensie, zoals PDF of .env
• inurl: zoekt naar woorden in de URL, bijvoorbeeld admin of login
• intitle: filtert op woorden in de paginatitel
• intext: zoekt naar exacte woorden binnen de inhoud van de pagina

Combinaties van deze operators leveren krachtigere resultaten op. Een simpele dork als:

filetype:env intext:AWS_SECRET_ACCESS_KEY

kan direct inloggegevens voor cloudinfrastructuur opleveren.

Populaire dorking technieken

Er zijn duizenden dork-combinaties mogelijk, maar deze worden vaak toegepast door pentesters:

• Directory listing detectie
  intitle:"index of" "backup"
  Zoekt naar open directory’s met mogelijk gevoelige back-upbestanden.
• Open config-bestanden
  filetype:env OR filetype:ini inurl:config
  Spoort configuratiebestanden op met mogelijke wachtwoorden of tokens.
• Exposed admin panels
  inurl:admin/login
  Helpt bij het vinden van toegankelijke beheerdersportalen.
• SQL errors
  intext:"You have an error in your SQL syntax"
  Kan wijzen op onveilige query-verwerking en mogelijke SQL-injectie.
• PDF documenten met login info
  filetype:pdf intext:"username" intext:"password"
  Spoort documenten op waarin per ongeluk inloggegevens zijn achtergelaten.

Voorbeelden van gevoelige informatie die je kunt vinden

Pentesters vinden via Google Dorks regelmatig:

• Inloggegevens of API-sleutels in .env- of .xml-bestanden
• Klantenlijsten of facturen in onbeveiligde Excel-bestanden
• Back-upbestanden zoals .zip- of .sql-bestanden
• Pagina’s met debug-informatie die interne IP-adressen onthullen
• Inlogportalen van tools als phpMyAdmin, Jenkins of WordPress

Hoewel de data publiek is, betekent dit niet dat de eigenaar deze bewust heeft gedeeld. Vaak gaat het om verkeerde instellingen of vergeten directories die door Google zijn geïndexeerd.

Grenzen en legaliteit

Hoewel Google Dorking passief is, zijn er wel ethische en juridische grenzen. Belangrijke aandachtspunten:

• Alleen gebruiken met toestemming
  Dorking op een organisatie zonder toestemming is onderdeel van ongeautoriseerde OSINT en kan als voorbereiding op een aanval worden gezien.
• Geen data downloaden of verspreiden
  Het bekijken van een directory is anders dan het downloaden van vertrouwelijke documenten.
• Houd je aan responsible disclosure
  Als je kwetsbaarheden vindt, meld deze via de juiste kanalen.

Voor pentesters binnen een legaal traject is Google Dorking een waardevolle OSINT-methode. Buiten die context kan het echter snel uitmonden in onwettig gedrag. Gebruik het dus altijd binnen de afgesproken scope.

Hacking.nl zei:

3. Wigle.net (WiFi Networks)

Wigle WiFi networks is een unieke OSINT-tool die wereldwijd draadloze netwerken in kaart brengt. Pentesters gebruiken Wigle om zicht te krijgen op WiFi-dekking, SSID-namen en locatie-informatie van netwerken — zonder ooit fysiek verbinding te maken met het netwerk zelf. De tool wordt vaak gebruikt in combinatie met wardriving en field tests, en vormt een waardevolle bron van locatiegebonden netwerkdata.

Wigle.net (Wireless Geographic Logging Engine) is vooral bekend bij beveiligingsonderzoekers, bug bounty hunters en hobbyisten. De database bevat miljoenen WiFi-netwerken die zijn verzameld via mobiele apps, GPS en scanners. Voor pentesting is dit ideaal om bijvoorbeeld:

• Locaties van access points in kaart te brengen
• SSID’s van doelorganisaties te identificeren
• Netwerkconfiguraties te analyseren op naming patterns
• Shadow IT of rogue access points te detecteren

Wat is Wigle.net?

Wigle.net is een openbare zoekmachine die wereldwijd draadloze netwerken verzamelt en indexeert. De gegevens zijn crowdsourced en worden verzameld via mobiele apps of apparaten met WiFi-scanning aan boord. Elke ingestuurde scan bevat:

• SSID (netwerknaam)
• MAC-adres van de access point
• Locatie (GPS-coördinaten)
• Encryptie-informatie (WEP, WPA, WPA2, open)
• Signaalsterkte en kanaal

De zoekinterface maakt het mogelijk om gericht te zoeken op:

• Specifieke SSID-namen
• Locatiecoördinaten of geofences
• Organisatienamen of naming patterns
• Bepaalde beveiligingstypes zoals open netwerken

De data is passief verzameld: alleen het uitzenden van een SSID is genoeg om geregistreerd te worden.

Toepassingen voor pentesters

Wigle is vooral nuttig bij fysieke pentests en Red Team-operaties. Het biedt informatie die normaal gesproken alleen lokaal zichtbaar is, maar nu wereldwijd beschikbaar is via één platform.

Pentesters gebruiken Wigle onder andere voor:

• Vooronderzoek bij fysieke toegangstests
  Door te zoeken naar de SSID’s van een doelwit kan worden vastgesteld op welke locaties het netwerk actief is.
• Detectie van open netwerken
  Open WiFi-netwerken bij organisaties kunnen risico’s vormen, vooral als ze toegang bieden tot interne systemen.
• Naming conventions analyseren
  SSID’s als “HR-Printer” of “Office-Cam” geven directe hints over de rol van het netwerk of apparaat.
• Verificatie van rogue access points
  Door publieke SSID’s te vergelijken met lokale netwerken kan een rogue AP worden ontdekt.
• Locatiebepaling bij OSINT-onderzoek
  Als een gelekte SSID of device-naam bekend is, kan Wigle helpen de fysieke locatie van dat netwerk te achterhalen.

WiFi privacy en risico’s

Hoewel Wigle alleen gegevens toont die netwerken zélf uitzenden, zijn er wel privacy-implicaties.

Risico’s die pentesters kunnen aantonen via Wigle:

• Locatieherkenning van thuisnetwerken
  Unieke SSID’s zijn vaak aan één huishouden of kantoor te koppelen.
• Open netwerken zonder wachtwoord
  Veel cafés of winkels hebben nog steeds onversleutelde WiFi, wat misbruik mogelijk maakt.
• Naamgevingsfouten
  SSID’s die persoonsnamen, afdelingen of functies bevatten, leveren OSINT-voordelen op voor social engineering.
• SSID-reuse
  Sommige bedrijven hergebruiken SSID’s op meerdere locaties, wat herleidbaarheid verhoogt.

Als onderdeel van een pentestrapport helpt Wigle bij het aantonen van blootgestelde WiFi-infrastructuur.

Praktisch gebruik in field tests

Wigle komt vooral tot zijn recht bij:

• Physical Red Team assessments
• Bug bounty reconnaissance rond hoofdkantoren
• OSINT-analyses voor social engineering
• Validatie van WiFi-segmentatiebeleid

De mobiele app kan onderweg SSID’s verzamelen. Deze data kan daarna offline worden geanalyseerd of geüpload naar de centrale Wigle-database.

Integratie met tools als Kismet of Aircrack-ng maakt het mogelijk om meer technische gegevens uit de omgeving te verzamelen, zoals beacon frames of clientverbindingen.

4. Intelx.io (OSINT)

IntelligenceX OSINT search is een geavanceerde zoekmachine waarmee pentesters toegang krijgen tot een breed scala aan openbare en gelekte informatie. De tool doorzoekt onder andere het dark web, paste-sites, historische domeingegevens en publieke lekdatabases. Waar Google stopt, begint IntelX.

Voor ethical hacking en OSINT-onderzoek is dit een krachtig hulpmiddel. Het stelt onderzoekers in staat om bijvoorbeeld gelekte e-mailadressen, documenten of domeinkoppelingen op te sporen — zonder op verdachte websites te hoeven rondkijken. De zoekresultaten worden gestructureerd weergegeven, inclusief metadata, waardoor analyses efficiënt en overzichtelijk blijven.

Wat IntelX biedt

IntelX verzamelt en indexeert data uit onder meer:

• Paste-sites zoals Pastebin (en alternatieven)
• Dark web forums en .onion-sites
• Gedeelde documenten op publieke cloudopslag
• Leaked credential databases (zoals combo lists)
• WHOIS- en DNS-records
• Publieke PGP-keys
• Sociale media posts (beperkt)

Elke zoekopdracht levert niet alleen het resultaat op, maar ook context zoals herkomstbron, datum van ontdekking en gerelateerde entiteiten.

Wat IntelX onderscheidt van andere tools is de multi-source dekking gecombineerd met een krachtige zoektaal en een lange opslag van historische gegevens.

Data categorieën

IntelX categoriseert de zoekresultaten, wat gericht zoeken makkelijker maakt:

• Identities – E-mailadressen, telefoonnummers, namen
• Domains – Domeinnamen, subdomeinen, reverse lookups
• Documents – PDF’s, Word-bestanden, spreadsheet-lekken
• Leaked Credentials – Gebruikersnamen met wachtwoorden
• Infrastructure – IP’s, ASN’s, DNS-records
• Dark Web Sources – .onion-content en mirrorplatforms
• PGP Data – Sleutels gekoppeld aan e-mailadressen

Zo kan een pentester met één zoekopdracht een volledig OSINT-profiel van een doelwit opbouwen, inclusief gelekte accounts, verbonden domeinen en gevoelige documenten.

Dark web en surface web zoeken

Een belangrijke kracht van IntelX is de brug tussen surface web en deep/dark web. Het doorzoekt automatisch mirrors van dark web bronnen. Hierdoor:

• Is geen TOR-browser nodig
  Alle data wordt ontsloten via de veilige IntelX-interface
• Worden .onion-links automatisch omgezet naar toegangbare content
• Blijft het zoeken legaal en gecontroleerd, zolang men alleen observeert en niet deelneemt aan illegale handel

IntelX detecteert regelmatig accounts, API-sleutels en configbestanden die per ongeluk zijn gepubliceerd op paste-sites, of gelekt via data breaches.

Praktische pentest toepassingen

Pentesters zetten IntelX in voor uiteenlopende doelen:

• Credential stuffing voorbereiden (legaal binnen scope)
  Door e-mailadressen en bekende wachtwoorden te vinden
• Subdomeinen of testomgevingen ontdekken
  Via gelekte URLs of configuratiebestanden
• Social engineering ondersteunen
  Door persoonlijke informatie uit paste-sites of dark web-forums te analyseren
• Validatie van datalekken
  Controleren of een organisatie voorkomt in een bekende breach
• Externe domeinkoppelingen controleren
  Domeinen die in het verleden gelinkt zijn aan een doelwit kunnen nu inactief maar nog steeds zichtbaar zijn

Let op: gebruik binnen de juiste juridische en ethische context blijft essentieel. IntelX biedt toegang tot gevoelige informatie, maar het raadplegen is geen overtreding zolang de data openbaar beschikbaar is gemaakt.

5. Searchcode.com (Codes Search)

Searchcode code search is een gespecialiseerde zoekmachine die miljoenen regels openbare broncode indexeert. Voor pentesters biedt dit platform een krachtige manier om gevoelige informatie zoals hardcoded wachtwoorden, API keys, tokens en interne URLs terug te vinden in repositories van ontwikkelaars wereldwijd.

In tegenstelling tot GitHub’s eigen zoekfunctie, focust Searchcode zich puur op doorzoekbaarheid van codefragmenten en werkt het vaak sneller en specifieker. Het ondersteunt ook reguliere expressies, wat het ideaal maakt voor het opsporen van patronen in code.

Waarom code search belangrijk is

Publiek gedeelde broncode is een onderschatte bron van informatie bij pentesting. Developers plaatsen regelmatig code op platforms als GitHub, Bitbucket of SourceForge zonder gevoelige info te verwijderen. Denk aan:

• API keys of tokens in .env-bestanden
• Database credentials in testcode
• S3 buckets met verkeerde rechten
• Debug endpoints die live staan
• Exposed secrets in logging-bestanden

Searchcode maakt het mogelijk om gericht te zoeken op deze kwetsbaarheden over duizenden repositories, verspreid over meerdere hostingplatforms.

Zoeken naar secrets en API keys

Pentesters gebruiken vaak specifieke regex-opdrachten binnen Searchcode om secrets op te sporen. Voorbeelden van zoekpatronen:

• apikey OR "api_key" AND "secret"
• "AWS_SECRET_ACCESS_KEY"
• file:.env AND password
• github_token OR slack_token

Deze zoekopdrachten leiden regelmatig naar:

• Geheime sleutels voor third-party services
  Zoals Stripe, Twilio, Slack of AWS
• Toegangstokens voor CI/CD-tools
  Bijvoorbeeld Jenkins of GitLab runners
• Productiegegevens in testcode
  Developers gebruiken soms echte data voor debuggen

Zodra deze data eenmaal openbaar is geworden via een repository, is het via Searchcode vindbaar — zelfs als het bestand later is verwijderd, zolang het gecrawld is.

Vergelijking met grep.app

Hoewel grep.app ook een krachtige code search engine is, verschillen beide tools in benadering:

Aspect	Searchcode	Grep.app
Regex ondersteuning	Ja	Ja
Focus	Multi-repo search	Vooral GitHub code
Snelheid	Iets trager bij veel hits	Sneller
Indexeringsdiepte	Groter bereik buiten GitHub	Focus op GitHub
Gebruiksgemak	Eenvoudige UI, filters	Minimalistische UI

Searchcode is dus interessanter voor bredere OSINT-analyses, terwijl grep.app sneller werkt voor GitHub-specifieke doelwitten.

Best practices

Bij het gebruik van Searchcode als pentester gelden er een paar slimme werkwijzen:

• Beperk je zoekopdracht tot relevante domeinen of projectnamen
  Gebruik filters zoals inurl:companyname of project_name:.
• Gebruik brede zoektermen en werk terug naar specifieke doelen
  Begin met password, ga daarna verfijnen op password=" en bestandsnamen.
• Combineer gevonden data met andere OSINT-tools
  Gebruik gevonden tokens bijvoorbeeld in combinatie met Hunter.io of IntelX voor meer context.
• Bewaar bewijs zorgvuldig (screenshots, timestamp, URL)
  Code die vandaag zichtbaar is, kan morgen verwijderd zijn.

Searchcode biedt ook een API voor integratie in eigen tools of pipelines. Voor geautomatiseerde OSINT-processen of grotere pentests is dit een groot voordeel.

6. Leakix.net (Threat Intelligence)

Leakix leaked data search is een krachtige zoekmachine die zich richt op het detecteren van misconfiguraties en openstaande systemen die per ongeluk data lekken. Waar tools als Shodan vooral infrastructuur tonen, gaat Leakix een stap verder: het toont direct de inhoud van gelekte data, inclusief configuratiebestanden, logfiles en volledige database-inhoud. Voor pentesters is dit een goudmijn aan informatie.

Leakix combineert actieve scans met passieve detectie en monitort continue miljoenen hosts wereldwijd op publieke data-exposure. De focus ligt niet alleen op het vinden van systemen, maar op wat ze prijsgeven — van credentials tot interne documentatie.

Hoe Leakix werkt

Leakix scant op bekende poorten en services die vaak verkeerd zijn geconfigureerd. Denk aan:

• Elasticsearch
  Veel organisaties laten Elasticsearch-instances draaien zonder authenticatie. Leakix detecteert en indexeert de inhoud direct.
• MongoDB
  Open databases die onbedoeld publiek staan, inclusief volledige datacollecties.
• Git-repositories
  .git-mappen op webservers die downloadbaar zijn, inclusief commitgeschiedenis.
• SMB shares
  Netwerkshares die toegankelijk zijn zonder wachtwoord.
• FTP en rsync-servers
  Met directory listing of anonieme toegang.

Zodra een systeem gevoelige inhoud prijsgeeft, wordt het door Leakix toegevoegd aan de zoekdatabase. Resultaten bevatten naast IP en poortinformatie ook een preview van de gelekte content.

Voorbeelden van gevonden data

De inhoud die Leakix toont is vaak schokkend door z’n gevoeligheid. Veelvoorkomende lekken:

• .env-bestanden met API keys, mailconfiguratie en wachtwoorden
• Database dumps in SQL-formaat
• Backup-bestanden zoals .tar.gz of .bak
• Configuratiebestanden van VPN’s, reverse proxies of Docker
• PDF’s of tekstbestanden met interne instructies of credentials

Voor pentesters levert dit directe ingangen op, of waardevolle context die elders via brute force of exploitatie verzameld moet worden.

Integratie met pentests

Leakix wordt door pentesters vaak gebruikt in de reconnaissance-fase. Het biedt snel inzicht in zwakke plekken binnen een organisatie, zoals vergeten testomgevingen of fout geconfigureerde cloudservices.

Praktische toepassingen:

• Verificatie van exposure
  Toont of bepaalde IP-ranges daadwerkelijk gevoelige info lekken.
• Asset discovery
  Identificeert systemen die niet in het assetregister staan.
• Validatie van gevonden credentials
  Combineer gevonden API keys met gevonden domeinen voor chaining-aanvallen.
• Bewijs voor rapportage
  Screenshots van gelekte bestanden ondersteunen de impactanalyse.

Leakix kan via zoekfilters zoals IP-range, port, hostname of country worden gebruikt om gericht te zoeken binnen een specifieke scope.

Voorkomen van datalekken

Hoewel pentesters Leakix gebruiken om lekken aan te tonen, is het voor bedrijven ook een tool om zichzelf te monitoren. Wie regelmatig z’n eigen IP-ranges checkt in Leakix, kan voorkomen dat een misconfiguratie leidt tot reputatieschade of incidenten.

Aandachtspunten voor organisaties:

• Beperk publieke toegang tot database-services
• Gebruik firewalls en IP-whitelisting
• Zet authenticatie aan op elk extern toegankelijke systeem
• Scan regelmatig je eigen infrastructuur met tools als Leakix, Censys of Shodan

7. Fullhunt.io (Attack Surface)

FullHunt attack surface is een platform dat zich richt op het volledig in kaart brengen van externe systemen, subdomeinen en kwetsbare assets van organisaties. Deze tool is ontworpen voor pentesters, Red Teams en bug bounty hunters die hun doelwit grondig willen analyseren voordat actieve exploitatie plaatsvindt.

Waar traditionele scanners focussen op individuele hosts, analyseert FullHunt de volledige digitale voetafdruk van een domein of organisatie. Het platform combineert OSINT, passieve analyse en live monitoring tot één interface.

Hoe FullHunt werkt

FullHunt verzamelt data uit verschillende bronnen en combineert deze met eigen scans. De focus ligt op:

• Subdomain enumeration
  Het vinden van bekende én minder bekende subdomeinen met technieken zoals DNS brute forcing, certificate transparency logs en ASN-scans.
• Asset fingerprinting
  Herkennen van gebruikte technologieën, versienummers en softwarestacks.
• Vulnerability detection
  Matching van gevonden systemen tegen bekende kwetsbaarheden, zoals CVE’s en misconfiguraties.
• Change monitoring
  Detecteren wanneer nieuwe assets worden toegevoegd of bestaande configuraties veranderen.

FullHunt is volledig passief, tenzij de gebruiker actief scans uitvoert via de ingebouwde modules. Voor pentesting is dit ideaal tijdens het stealth reconnaissance stadium.

Belang voor bug bounty hunters

Bug bounty researchers gebruiken FullHunt om kwetsbaarheden te vinden die buiten het formele scoperegister vallen, maar wel onderdeel zijn van het ecosysteem van het doelwit.

Veelvoorkomende vondsten:

• Subdomeinen die vergeten zijn, maar nog live staan
• Testomgevingen met minder beveiliging
• Exposed dashboards zoals Kibana, Jenkins of Grafana
• Verouderde CMS-installaties of bibliotheken
• Assets met standaardwachtwoorden of misconfiguraties

FullHunt’s kracht zit in het automatiseren van deze discovery, waardoor pentesters niet alles handmatig hoeven te mappen.

Vulnerabilities in scope brengen

Door de attack surface goed in kaart te brengen, kunnen pentesters:

• Systematisch alle blootgestelde assets testen
• Shadow IT signaleren: systemen buiten beheer die toch live zijn
• Herkennen welke assets binnen scope vallen van een test of bounty-programma
• Externe risico’s koppelen aan interne processen of supply chain

Pentesters gebruiken FullHunt bijvoorbeeld als volgt:

• Start met een root domein van het doelwit
• Genereer de subdomeinenlijst
• Filter op systemen met bekende kwetsbare software
• Combineer deze info met een tool als Vulners of Shodan voor verdieping

Pentest voorbeelden

Typische scenario’s waarbij FullHunt waardevol is:

• Subdomain takeover
  Niet-geclaimde subdomeinen gekoppeld aan derde partijen zoals GitHub Pages of Heroku.
• Exposure van staging-omgevingen
  Subdomeinen zoals staging.domain.com met verouderde code of debug modes aan.
• Outdated software
  Webapplicaties draaien op kwetsbare versies van WordPress, Drupal of Apache.
• Identificatie van shadow-assets
  Domeinen die door een externe partij zijn geregistreerd maar naar de infrastructuur van het doel verwijzen.

8. Urlscan.io (Threat Intelligence)

Urlscan threat analysis is een platform waarmee pentesters en beveiligingsonderzoekers websites en URL’s kunnen analyseren op verdacht gedrag, verborgen redirects, malafide scripts en connecties naar andere domeinen. De tool simuleert een bezoek aan een website, slaat de volledige interactie op, en geeft inzicht in de technische kenmerken van de pagina.

Pentesters gebruiken Urlscan.io voornamelijk voor het detecteren van phishingpagina’s, analyse van malafide domeinen of het onderzoeken van client-side kwetsbaarheden. De kracht ligt in de combinatie van statische en dynamische analyse van URL’s — zonder dat je zelf een verdachte site hoeft te bezoeken.

Hoe urlscan.io werkt

Wanneer een URL wordt gescand via Urlscan, voert het systeem de volgende acties uit:

• Bezoekt de pagina via een sandboxed browser
• Neemt screenshots van de interface
• Analyseert alle netwerkverzoeken en third-party scripts
• Bepaalt de domeinhistorie en DNS-resolutie
• Detecteert JavaScript-libraries, trackingtools, externe links en meer

De output bevat gedetailleerde gegevens zoals:

• HTTP headers
• Geplaatste cookies
• Aanroepen van API’s of command & control servers
• Redirects naar andere domeinen
• SSL-certificaatinformatie
• Relaties met andere bekende scans of IOC’s

Detectie van phishing en malware

Pentesters en threat analysts zetten Urlscan.io vaak in om domeinen te controleren op phishing-indicatoren, zoals:

• Domeinen met typofouten in merknamen (bijv. paypa1.com)
• Loginpagina’s met identieke HTML-structuur als echte sites
• SSL-certificaten van gratis aanbieders zoals Let’s Encrypt
• Scripts die informatie wegschrijven naar verdachte externe adressen
• Obfuscated JavaScript dat user input steelt

Dankzij het publieke karakter van veel scans, kan ook gezocht worden op termen zoals inurl:login of inbody:"Enter your password" om bestaande phishingpogingen te ontdekken.

Urlscan bevat bovendien een live feed van recente scans, handig voor real-time detectie.

Belang in incident response

In pentesting wordt Urlscan.io vaak gebruikt als onderdeel van post-exploitatie of als controletool binnen incident response. Denk aan scenario’s zoals:

• Valideren of een link in een phishingmail actief is
• Analyseren van command & control communicatie
• Controleren of een gelekte URL nog live is
• Onderzoeken welke externe domeinen of CDNs bij een site betrokken zijn

Bovendien kan het platform helpen bij threat attribution. Via de “relaties”-functie kun je zien of dezelfde infrastructuur wordt hergebruikt op meerdere verdachte sites.

Pentester scenario’s

Concrete toepassingen van Urlscan.io in pentests:

• Controleren van uitgaande links op klantwebsites
  Externe JavaScript-hosts kunnen lekken of injecties veroorzaken.
• Monitoren van phishing kits
  Domeinen met identieke HTML-structuren of hostingpatronen kunnen gelinkt worden aan phishing-kits.
• In kaart brengen van supply chain risico’s
  Denk aan third-party scripts die vanaf externe domeinen worden geladen.
• Validatie van scope en asset discovery
  Domeinen van een doelwit kunnen via historische scans en redirect chains teruggevonden worden, ook als ze niet meer in DNS zichtbaar zijn.

9. Censys.io (Server)

Censys server search is een zoekmachine die de volledige openbare internetinfrastructuur in kaart brengt. Voor pentesters is dit een waardevol platform om inzicht te krijgen in open poorten, services, certificaten en kwetsbare softwareversies. Net als Shodan maakt Censys gebruik van internet-wide scanning, maar legt de nadruk op diepgang, consistentie en data-integriteit.

Censys combineert geavanceerde scanresultaten met slimme zoekfilters, waardoor kwetsbare servers, misconfiguraties en ongeautoriseerde systemen snel gevonden kunnen worden. De tool wordt veel gebruikt in red teaming, OSINT, threat intelligence en bug bounty werk.

Wat je met Censys kunt vinden

De kracht van Censys ligt in de combinatie van infrastructuurdata en beveiligingsinformatie. Pentesters kunnen onder andere zoeken naar:

• Open poorten en services
  Zoals RDP, FTP, SSH, HTTP(S), SMTP
• SSL-certificaten en metadata
  Domeinnamen, uitgevende CA, verloopdatum, wildcardgebruik
• Besturingssystemen en bannerinformatie
  Versienummers van Apache, NGINX, OpenSSH, Exim enz.
• DNS-data
  Reverse lookups, subdomeinen en PTR-records
• Device fingerprinting
  Herkennen van systemen zoals firewalls, load balancers, IoT-apparaten

Met zoekopdrachten als services.service_name: "http" AND location.country: "NL" kun je direct alle webservers in Nederland opvragen.

Verschillen met Shodan

Hoewel Shodan en Censys beide server search engines zijn, verschillen ze op belangrijke punten:

Aspect	Censys	Shodan
Focus	Security & certificaten	Breed (ook IoT, camera’s)
API toegang	Meer gericht op data-analyse	Meer gericht op dashboardgebruik
Zoekprecisie	Fijnmazige query-structuur	Snelle filtering
SSL-informatie	Diepgaand & gestructureerd	Beperkter
Academische oorsprong	Universiteit van Michigan	Commercieel

Censys is bij uitstek geschikt voor pentesters die gericht willen zoeken naar kwetsbare systemen op basis van security-data en certificaten.

Certificaten en misconfiguraties

Een van de sterkste functies van Censys is het inzicht in SSL/TLS-certificaten en het opsporen van gerelateerde kwetsbaarheden:

• Expired certificates
  Kunnen wijzen op verwaarloosde servers of testomgevingen
• Self-signed certificates
  Onveilig voor productiegebruik en vaak niet goed geconfigureerd
• Wildcard-certificaten
  Potentieel risico als ze op meerdere omgevingen tegelijk worden gebruikt
• Certificaten die nog SHA-1 gebruiken
  Een zwakke hashfunctie die inmiddels als onveilig wordt beschouwd

Via certificate transparency logs worden ook subdomeinen zichtbaar die nergens anders vermeld staan. Zo vinden pentesters domeinen zoals dev.api.klantnaam.nl of vpn.klantnaam.nl — waardevolle ingangen voor verdere analyse.

Praktisch in pentesting

Censys past perfect in de OSINT- en discovery-fase van een pentest. Typische toepassingen:

• Subdomeinen ontdekken via certificaten
  Door te zoeken op parsed.names: "*.doelwit.nl"
• Verouderde softwareversies opsporen
  Zoals Apache 2.2 of Exim 4.89 die kwetsbaar zijn voor bekende exploits
• Cross-referencing met andere tools
  Combineer Censys-data met Shodan, Leakix of FullHunt voor een completer beeld
• Validatie van patchbeleid
  Controleer of servers recent gepatcht zijn of nog kwetsbare software draaien
• Toewijzing van IP’s aan domeinen
  Handig bij multi-tenant hostingomgevingen

Censys biedt ook een krachtige API waarmee scans en analyses kunnen worden geautomatiseerd binnen CI/CD of pentest pipelines.

10. Onyphe.io (Server)

Onyphe server scanning is een veelzijdig platform voor passieve en actieve infrastructuurdata. De tool biedt inzicht in miljoenen apparaten, services en systemen die direct bereikbaar zijn via het internet. Voor pentesters is Onyphe vooral interessant door de combinatie van zoekfunctionaliteit, API-toegang en een rijke dataset aan server- en threat intelligence-informatie.

Waar Shodan en Censys vaak worden gezien als de standaard, positioneert Onyphe zich als een aanvulling met een bredere focus op cyberdefensie, passive reconnaissance en kwetsbare infrastructuurdetectie.

Functies van Onyphe

Onyphe werkt met een combinatie van:

• Passieve sensordata (zoals honeypots en threat feeds)
• Actieve scans van services, poorten en IP’s
• Open data scraping (zoals pastebin, dark web, leaks)

Voor pentesters zijn vooral de volgende datatypes interessant:

• Inet: resultaten van internet-wide scans (zoals banners en headers)
• Pastries: geparse JSON-resultaten van services
• Attacks: threat intel afkomstig van honeypots
• Datascan: openbare bronnen met gelekte gegevens
• Certificates: TLS-data vergelijkbaar met crt.sh
• Geolocatie en ASN: contextuele informatie over infrastructuur

Via de webinterface of API kunnen zoekopdrachten worden opgebouwd met filters zoals:

• ip:185.20.56.1
• domain:klantnaam.nl
• category:ssh
• port:443 AND tls:true
• geoloc:NL AND tag:webserver

Dit maakt het mogelijk om gericht op infrastructuur, kwetsbare services of metadata te zoeken.

Server data en API’s

De kracht van Onyphe zit in de manier waarop het data presenteert. De inet-categorie bijvoorbeeld toont direct:

• Open poorten
• Service banners
• Hostnamen
• Tijdstempels van laatste detectie
• TLS-informatie (certificaat, issuer, SAN’s)
• Geolocatie van de server

Daarnaast biedt Onyphe een RESTful API waarmee pentesters de gegevens kunnen automatiseren in hun recon workflows. Enkele praktische endpoints:

• api.onyphe.io/summary/ip/<ip> – samenvatting per IP-adres
• api.onyphe.io/search/data/<query> – uitgebreide query’s op datasets
• api.onyphe.io/scan/port/<ip> – portscanresultaten van targets
• api.onyphe.io/export/... – bulk exports voor analyse in eigen SIEM

De API is stabiel, goed gedocumenteerd en ideaal voor automatisering in grotere pentestprojecten.

Praktische scenario’s

Pentesters gebruiken Onyphe in meerdere contexten:

• Verzamelen van contextinformatie over doel-IP’s
  Bijvoorbeeld: welk besturingssysteem draait er, welke services zijn actief?
• Validatie van cloudconfiguraties
  Zijn er systemen met open poorten die in AWS, Azure of GCP draaien?
• Opsporen van vergeten of verouderde servers
  Door te filteren op specifieke versies of servertypes
• TLS-certificaatanalyse
  Wat zijn de uitgiftepatronen, zijn er wildcardcertificaten actief?
• Correlatie van IP’s en domeinen
  Zijn er onbekende subdomeinen die aan dezelfde infrastructuur gekoppeld zijn?
• Threat hunting
  Detectie van IP’s die in aanvalscampagnes voorkomen (via de attacks-feed)

Voor een pentester is dit een goudmijn aan contextuele data, zonder dat het doelwit direct wordt benaderd.

Integratie met andere tools

Onyphe werkt uitstekend in combinatie met andere search engines:

• Combineer met crt.sh of Censys om via certificaten servers te koppelen
• Gebruik samen met Shodan om te valideren welke poorten recent zijn gedetecteerd
• Voer een reverse DNS-koppeling uit om domeinen te herleiden uit IP’s
• Link threat data aan OSINT-tools zoals Pulsedive of GreyNoise

Ook tools als Maltego en Recon-ng ondersteunen integratie met Onyphe via modules of custom scripts, wat het inzetbaar maakt in grotere security workflows.

Voorbeeld uit een pentest

Tijdens een pentest op een fintech-platform werd via Onyphe een IP gevonden dat volgens DNS niet meer actief was. Toch bleek uit de inet-feed dat het IP recent op poort 8080 een open Tomcat-service toonde, inclusief serverheader. De pastries-output toonde zelfs een foutpagina met versienummer en een configuratiepad. Via een simpele GET-request werd toegang verkregen tot de Tomcat Manager — zonder inlog. Deze toegang leidde tot remote code execution. Geen directe aanval nodig: de volledige route begon met passieve data uit Onyphe.

Dit toont aan hoe effectief passieve serverinformatie kan zijn in hacking-scenario’s waarbij stealth en informatievoorsprong cruciaal zijn.

Voordelen voor pentesters

• Volledig stealth – geen directe interactie met doelwit
• Rijke metadata – combineerbare velden voor diepgaande analyse
• Real-time feeds – recente scanresultaten en aanvalsinformatie
• API-koppeling – schaalbaar voor automation en Red Team workflows
• Veelzijdigheid – infrastructuur, leaks, threats, en certificates in één platform

Waarom kiezen voor Onyphe

In tegenstelling tot Shodan en Censys, biedt Onyphe:

• Meer focus op dreigingsdata (honeypots, malware-IP’s)
• Diepere API-mogelijkheden met specifieke datasets
• Betere tijdslijnen van detecties per IP of domein
• Directe JSON-resultaten met context per observatie

Het is dus geen vervanging, maar een aanvulling — vooral wanneer scope, stealth en integratie centraal staan.

11. Socradar.io (Threat Intelligence)

Socradar threat intelligence is een geïntegreerd platform dat organisaties helpt bij het monitoren van cyberdreigingen, externe risico’s en datalekken. Voor pentesters is SocRadar een waardevolle bron van informatie, vooral in de voorbereidende fase van een test waarbij het draait om inzicht in wat er al over het doelwit bekend is op internet, het dark web en andere dreigingsbronnen.

Socradar combineert data uit open bronnen, commerciële feeds, domeindata, social media en dark web-monitoring. De interface is ontworpen om snel verbanden te leggen tussen gelekte data, aanvalsvectoren en kwetsbare assets. Voor hacking-simulaties is het een efficiënte manier om risico’s te visualiseren.

Wat SocRadar biedt

Socradar is opgebouwd uit meerdere modules, waarvan de belangrijkste voor pentesters zijn:

• Threat Intelligence
  Realtime dreigingsinformatie over malwarecampagnes, phishingdomeinen, command & control infrastructuur en kwetsbaarheden.
• Digital Risk Protection (DRP)
  Detectie van domeinimitaties, credential leaks, brand abuse en illegale marktplaatsactiviteit.
• Attack Surface Management (ASM)
  Inzicht in exposed IT-assets, zoals subdomeinen, API-endpoints, cloudservices en open poorten.
• Dark Web Monitoring
  Doorzoekbare database van posts op dark web forums, marktplaatsen en leaksites.
• Threat Feed Integratie
  Mogelijkheid om threat data automatisch door te sturen naar SIEM- of SoC-platforms via API’s.

De kracht van SocRadar zit in het combineren van externe informatiebronnen met inzichten die specifiek toepasbaar zijn op een organisatie of domein.

Data categorieën en dashboards

Binnen SocRadar worden gegevens gestructureerd in duidelijke categorieën. Voor pentesters biedt dit overzicht in risico’s per type data:

• Credential Leaks – Gebruikersnamen en wachtwoorden uit breaches, vaak inclusief bron en datum
• Leaked Documents – Interne handleidingen, contracten of spreadsheets op paste-sites of cloudopslag
• Brand Monitoring – Misbruik van merknamen in phishing, apps of valse social media accounts
• Domain Intelligence – Nieuw geregistreerde domeinen die lijken op het hoofddomein (bijv. klantnamm.nl)
• Infrastructure Exposure – Gevonden IP’s, poorten, services en softwareversies van externe assets

De dashboards zijn interactief en filterbaar per impactscore, detectiedatum of dreigingscategorie.

Threat feeds integreren

Socradar biedt directe koppelingen met veelgebruikte securityplatforms zoals:

• Splunk
• QRadar
• Azure Sentinel
• Elastic SIEM
• MISP

Voor pentesters met geautomatiseerde pipelines of integraties in hun eigen tooling, is dit handig om real-time alerts te koppelen aan specifieke scenario’s of scopelijsten. Denk aan:

• Automatisch detecteren van subdomeinen die zijn toegevoegd
• Notificaties bij gelekte credentials gekoppeld aan testdomeinen
• Alerts wanneer phishingdomeinen live gaan die lijken op het doelwit

Deze real-time integraties versnellen de workflow en maken het eenvoudiger om directe actie te ondernemen.

Pentester toepassingen

Socradar kan op verschillende manieren worden ingezet tijdens een pentest:

• Pre-scan risicoanalyse
  Voordat technische scans worden uitgevoerd, kan SocRadar inzicht geven in bestaande lekken, exposed assets en bekende kwetsbaarheden.
• Social engineering voorbereiding
  Door gelekte e-mailadressen, documenten of persoonlijke info te analyseren.
• Validatie van shadow IT
  Assets of domeinen die buiten het beheer van de organisatie vallen, maar wel zichtbaar zijn in SocRadar.
• Opsporen van merkimitatie
  Domeinen als klant-support.com kunnen gebruikt worden in phishing en worden via SocRadar snel geïdentificeerd.
• Dark web bevestiging
  Als tijdens de pentest credentials worden gevonden, kan SocRadar helpen te achterhalen of deze al eerder op het dark web zijn gedeeld.

Waarom SocRadar anders is dan traditionele threat intel feeds

In tegenstelling tot platte IOC-lijsten, biedt SocRadar context, visuele inzichten en gekoppelde relaties. Je ziet bijvoorbeeld:

• Welke gelekte credentials bij welke service hoorden
• Of een gelekte e-mail ook voorkomt in phishingcampagnes
• Wanneer een asset voor het eerst werd ontdekt én wanneer die live ging
• Of meerdere threats onderdeel zijn van één georganiseerde aanvalscampagne

Deze koppeling maakt het verschil tussen simpelweg iets “vinden” en het volledig kunnen onderbouwen van de impact tijdens een pentest.

12. Grep.app (Codes Search)

grep.app code search is een gespecialiseerde zoekmachine waarmee pentesters razendsnel door miljoenen regels openbare broncode kunnen zoeken. De tool is geoptimaliseerd voor snelheid, precisie en ondersteuning van reguliere expressies (regex), wat het een krachtig wapen maakt voor iedereen die op zoek is naar kwetsbaarheden of gelekte gegevens in code.

Waar platformen als GitHub zoeken beperken of rate limits hanteren, biedt grep.app een directe en ongefilterde manier om kwetsbare patronen, configuratiebestanden of hardcoded credentials te vinden. Deze vorm van OSINT is stil, effectief en vaak verrassend productief.

Zoeken in miljoenen codebases

grep.app indexeert een enorme hoeveelheid open source code van platforms zoals:

• GitHub (public repositories)
• GitLab (public)
• Bitbucket
• SourceForge
• Andere codehostingsites met publieke toegang

De index wordt continu bijgewerkt en bevat tientallen miljoenen bestanden in tientallen programmeertalen, waaronder Python, JavaScript, Java, Go, PHP, Ruby, Bash en meer.

De interface laat je zoeken met:

• Simpele keywords (password, apiKey, jwt)
• Bestandsfilters (filename:.env)
• Regex-patterns ((?i)password\s*=\s*['"].+['"])
• Path- of folderfilters (path:config/)

De zoekresultaten zijn gesorteerd per repository, bestand en regelnummer — met highlight van de match.

Hoe grep.app helpt bij vulnerability hunting

grep.app wordt in pentesting vooral gebruikt voor:

• Secrets detection
  API-sleutels, toegangstokens, databasewachtwoorden en andere gevoelige waarden die hardcoded zijn
• Misconfiguraties
  .env-bestanden in verkeerde paden, debugmodus aan, logging naar externe domeinen
• Outdated of kwetsbare codepatronen
  Gebruik van verouderde hashing (MD5), SQL-injectiegevoelige queries, onbeveiligde auth-mechanismen
• Tokenleaks via logging
  console.log(jwt) of print(password)-statements in productiecode
• Zoek naar kwetsbare third-party libraries
  In combinatie met package-bestanden zoals package.json of requirements.txt

Pentesters combineren deze inzichten vaak met gevonden subdomeinen of repositories die gelinkt zijn aan het doelwit.

Voorbeelden van misconfiguraties

grep.app levert regelmatig gevoelige bestanden op zoals:

• .env met AWS credentials
  Vaak met AWS_ACCESS_KEY_ID en AWS_SECRET_ACCESS_KEY
• config.php met hardcoded databasewachtwoorden
  Bijvoorbeeld: $db_password = "root123"
• firebase.json met open toegang tot database
  Geen regels voor toegangsbeheer aanwezig
• settings.py in Django-projecten met DEBUG = True
  In combinatie met productie-URL’s: een potentieel aanvalspunt
• .npmrc of .pypirc met tokens voor private repositories
  Hiermee kan een aanvaller packages downloaden of zelfs pushen

Alternatieven en combinaties

grep.app wordt vaak naast andere codezoektools gebruikt voor maximale dekking:

Tool	Focus	Snelheid	GitHub-only?
grep.app	Regex en brede dekking	Hoog	Nee
Searchcode	Multi-platform, metadata	Gemiddeld	Nee
PublicWWW	Website source code & JS libs	Snel	Nee
GitHub Code Search	Native in GitHub	Beperkt	Ja

Combinaties maken het mogelijk om zowel in live websites als in ontwikkelomgevingen te zoeken naar kwetsbare code.

Best practices voor pentesters

Om grep.app effectief in te zetten, hanteren ervaren pentesters deze aanpak:

• Start met algemene patterns
  Zoek op password, api_key, secret, en refineer op context
• Gebruik regex voor precisie
  Bijvoorbeeld: (?i)token\s*[:=]\s*['"].+['"]
• Beperk op bestandsnamen of paths
  filename:.env of path:secrets/
• Koppel gevonden data aan doelwitdomeinen
  Check of de eigenaar van de repository overeenkomt met de organisatie
• Gebruik gevonden credentials in chaining
  Combineer met Hunter.io of IntelX om accounts en toegangspunten te testen

grep.app is volledig passief in gebruik: er worden geen aanvragen gedaan naar de originele systemen of repositories, wat het zeer geschikt maakt voor stealth reconnaissance.

Pentestvoorbeeld: van code naar toegang

Tijdens een pentest op een SaaS-leverancier werd via grep.app een .env-bestand gevonden in een oude GitHub-repository. De variabelen bevatten AWS-sleutels die nog steeds actief waren. Door deze sleutels te combineren met permissies in AWS IAM, kreeg de pentester toegang tot een S3-bucket met klantgegevens en interne documentatie. De volledige aanval vond plaats zonder enige actieve scan — puur op basis van OSINT en code search.

Dit soort scenario’s komt vaak voor bij organisaties die geen goed beleid voeren op source code hygiene. Hacking begint vaak niet met een exploit, maar met een stukje vergeten code op het openbare web.

13. BinaryEdge.io (Attack Surface)

BinaryEdge attack surface is een platform dat de externe IT-infrastructuur van organisaties in kaart brengt. Door wereldwijde internet-scans te combineren met threat intelligence en asset discovery, geeft BinaryEdge pentesters gedetailleerd inzicht in welke systemen publiekelijk bereikbaar zijn — en mogelijk kwetsbaar.

In tegenstelling tot tools die zich beperken tot IP-informatie of domeinanalyses, focust BinaryEdge op het totaalplaatje: services, poorten, versies, SSL-informatie, banners en kwetsbaarheden. Het is bij uitstek geschikt voor de reconnaissance-fase van een pentest of Red Team-operatie, waarbij zichtbaarheid en bereikbaarheid centraal staan.

BinaryEdge als attack surface tool

BinaryEdge scant actief het hele IPv4-adresbereik van het internet. Dit gebeurt continu, met behulp van eigen scaninfrastructuur. De resultaten worden verwerkt in een doorzoekbare database en visueel gepresenteerd op dashboards.

Pentesters kunnen zoeken op:

• IP-adres of range
• Domeinnaam of subdomeinen
• Organisatienaam (op basis van ASN of certificaten)
• Exposed services (zoals RDP, FTP, Elasticsearch, SMB)
• Open poorten en servicebanners
• CVE-koppelingen op basis van versiedetectie

De tool biedt context bij elke gevonden asset, inclusief timestamp van de scan, locatie, en potentiële kwetsbaarheden.

Verschillen met threat intel functie

BinaryEdge heeft zowel een attack surface functie als een threat intelligence functie. Voor pentesters ligt de focus vooral op de eerste.

Functie	Doel
Attack Surface	Wat is er extern bereikbaar?
Threat Intelligence	Is een asset betrokken bij malafide activiteit?

Binnen een pentest is vooral de exposure-analyse waardevol. Threat intel kan aanvullend gebruikt worden om te bepalen of een asset al geassocieerd is met verdachte netwerken of botnets.

Use cases in pentesting

Pentesters gebruiken BinaryEdge voor uiteenlopende scenario’s:

• Identificatie van shadow IT
  IP’s en servers die buiten het bekende assetregister vallen, maar nog wel live zijn.
• Detectie van test- of stagingservers
  Vaak minder goed beveiligd en draaien op verouderde software.
• Exposed services zonder authenticatie
  Denk aan open MongoDB’s, Elasticsearch-instances, Jenkins-servers of VNC zonder wachtwoord.
• Kwetsbare versies van software herkennen
  Zoals oude Exchange-servers, verouderde webserverversies of open proxies.
• Informatie voor social engineering
  Banners met bedrijfsnamen, e-mailadressen of medewerkersinformatie die zichtbaar zijn via metadata.

BinaryEdge helpt om snel een volledig overzicht te krijgen van alle aanvalsoppervlakken. Dit bespaart tijd en voorkomt dat assets over het hoofd worden gezien.

Voorbeelden van kwetsbare assets

Tijdens een pentest is het niet ongebruikelijk om de volgende blootgestelde systemen via BinaryEdge te ontdekken:

• Webservers met verouderde PHP-versies
  Kwetsbaar voor remote code execution
• VPN’s zonder MFA
  Potentieel toegangspunt bij credential reuse
• Onbeveiligde Redis- of Memcached-servers
  Direct misbruikbaar voor data-exfiltratie of DDoS-aanvallen
• Routers met standaardwachtwoorden
  Vooral bij kleine vestigingen of thuiskantoren
• Cloud storage buckets met foute permissies
  Zoals open S3-buckets of Azure blob containers

BinaryEdge laat ook zien wanneer een asset voor het laatst gescand is en of deze nog steeds online is. Hierdoor kunnen pentesters bepalen of een kwetsbaarheid actueel is.

Integratie met andere tools

BinaryEdge wordt vaak gecombineerd met andere tools voor verdieping of validatie:

• FullHunt – voor subdomein discovery en attack surface mapping
• Shodan – vergelijkbare data, maar met meer focus op devices
• Censys – voor SSL-certificaatanalyse en subdomeinen
• Leakix – om te controleren of exposed services ook daadwerkelijk data lekken

Daarnaast biedt BinaryEdge een krachtige API die makkelijk integreert in scripts of dashboards. Pentesters kunnen hiermee eigen tooling ontwikkelen voor automatische asset monitoring.

Voorbeeld: van scan naar impact

Tijdens een pentest voor een softwarebedrijf werd via BinaryEdge een vergeten stagingserver ontdekt onder een subdomein dat niet meer in DNS zichtbaar was. De server draaide een oude versie van WordPress met bekende kwetsbaarheden en gaf toegang tot een interne testomgeving. Via deze toegang werd een plugin geüpload met reverse shell-functionaliteit, waarmee laterale beweging naar het interne netwerk mogelijk werd. Dit scenario begon met passieve analyse — geen directe interactie — en leidde tot volledige toegang tot gevoelige systemen.

Dit soort hacking-scenario’s toont het belang van goede asset discovery, iets waar BinaryEdge in uitblinkt.

14. Fofa.info (Threat Intelligence)

Fofa.info search engine is een Chinese threat intelligence- en infrastructuurzoekmachine die veel overeenkomsten vertoont met Shodan en Censys, maar vaak andere datasets en methodes gebruikt. Voor pentesters is het een waardevolle aanvulling op bekende tools, juist omdat Fofa regelmatig apparaten, IP-ranges en kwetsbaarheden indexeert die elders niet (of later) zichtbaar zijn.

Fofa scant net als Shodan het hele publieke internet en verzamelt metadata van servers, apparaten en services. De interface biedt krachtige zoekmogelijkheden en ondersteunt geavanceerde filters. De tool is vooral populair bij onderzoekers, Red Teams en hackers die dieper willen graven in infrastructuur- en exposuregegevens — inclusief assets binnen Chinese netwerken of buiten het bereik van westerse scanplatforms.

Wat Fofa uniek maakt

Wat Fofa onderscheidt van andere tools:

• Andere scanfrequentie en methodologie
  Fofa gebruikt alternatieve detectieprotocollen en poorten, waardoor soms andere resultaten verschijnen dan bij Shodan of Censys.
• Chinese focus en datadekking
  Meer zicht op Aziatische infrastructuur en netwerken die slecht vertegenwoordigd zijn in westerse tools.
• Interface met Chinese zoektermen
  Hoewel dit een drempel vormt, biedt het juist waardevolle inzichten voor pentesters die wereldwijd opereren.
• Relatieanalyse
  Mogelijkheid om verbanden te leggen tussen IP’s, domeinen, certificaten en services binnen infrastructuren.
• Groot volume aan indexed data
  Met meer dan 100 miljard records is het een van de grootste datasets wereldwijd voor infrastructuur-OSINT.

Data die beschikbaar is

Via Fofa kunnen pentesters de volgende informatie achterhalen:

• IP-adressen met geopende poorten en services
• Bannerinformatie van webservers, FTP, SSH, RDP en IoT-apparaten
• SSL-certificaatdata (issuer, CN, domeinen)
• HTTP-response headers en statuscodes
• Lokalisatie van systemen (land, stad, ASN)
• Domeinassociaties via TLS en HTTP-hostnamen
• Exposed devices: SCADA-systemen, camera’s, NAS, routers

Net als bij Shodan kan een simpele zoekopdracht zoals port="21" && country="US" duizenden FTP-servers opleveren, inclusief versienummer en bannerdata.

Pentesting use cases

Fofa is bijzonder waardevol voor specifieke scenario’s:

• Shadow IT detecteren buiten bekende regio’s
  Organisaties die actief zijn in Azië, Afrika of Zuid-Amerika kunnen assets hebben die wél door Fofa, maar niet door andere tools zijn geïndexeerd.
• Validatie van kwetsbare services
  Denk aan open MongoDB-instances, verouderde SMB-services of onveilige webinterfaces.
• Subdomeinen en certificaten vinden via CN/subject-alt-names
  Hiermee kunnen nieuwe ingangen gevonden worden in de infrastructuur.
• Vergelijken met Shodan-resultaten
  Door dezelfde zoekopdracht in meerdere tools te doen, ontstaat een vollediger attack surface beeld.
• Hunting op specifieke softwareversies
  Bijvoorbeeld: app="Apache Tomcat" && version="7.0.65" voor gericht zoeken naar kwetsbare installaties.

Verschillen met Shodan & Censys

Kenmerk	Fofa	Shodan	Censys
Focus	Globaal, met nadruk op Azië	Breed wereldwijd	Security & certificaten
Interface	Chinees/Engels	Engels	Engels
API-mogelijkheden	Uitgebreid	Uitgebreid	Uitgebreid
Zoekprecisie	Hoog, met filteroperators	Snel met intuïtieve UI	Zeer specifiek
Extra functies	Relatieanalyse, trends	Exposed device focus	Certificaatkoppelingen

Fofa is dus geen vervanger, maar een aanvulling — vooral als je een compleet beeld wilt van de internet-exposure van een organisatie.

Toepassing in realistische pentest-scenario’s

In een Red Team-operatie gericht op een internationaal retailbedrijf ontdekte een onderzoeker via Fofa een vergeten subdomein (beta.api.klantnaam.asia) dat nergens anders naar voren kwam. De server draaide een verouderde API-service met debug-functionaliteit aan. Via deze toegang kon een chain-aanval worden opgezet naar interne backends. Shodan en Censys gaven geen resultaat — alleen Fofa had de server geïndexeerd op basis van een TLS-certificaat en open poort op een atypisch IP-blok.

Zulke scenario’s onderstrepen hoe belangrijk het is om meerdere tools te gebruiken binnen de reconnaissance-fase van pentesting en hacking-simulaties.

15. PublicWWW.com (Codes Search)

PublicWWW code search is een unieke zoekmachine waarmee pentesters direct kunnen zoeken in de HTML- en JavaScript-code van miljoenen live websites. In tegenstelling tot tools die repositories doorzoeken, richt PublicWWW zich op live, publiek toegankelijke webpagina’s. Hiermee wordt zichtbaar welke scripts, API-keys, tracking-tools en bibliotheken zijn ingeladen — en waar deze worden gebruikt.

Voor pentesters is PublicWWW bijzonder handig bij fingerprinting, bug bounty recon en het opsporen van kwetsbaarheden die ontstaan door hergebruik van onveilige scripts of misconfiguraties in front-end code.

Wat je met PublicWWW vindt

PublicWWW indexeert de broncode van websites en stelt je in staat om direct te zoeken naar:

• Analytics-ID’s zoals Google Analytics (UA-XXXXXX)
• Tracking scripts en third-party JS libraries
• Mailadressen en contactformulieren
• Codefragmenten zoals apikey=, token, auth
• Verwijzingen naar backend-API’s
• SaaS-integraties zoals Stripe, Intercom, Mailchimp, enz.
• Verouderde of kwetsbare bibliotheken zoals oude versies van jQuery

Elke zoekopdracht levert de exacte locatie, URL en context waarin de zoekterm is gevonden. Het is een passieve techniek: er is geen interactie met de server zelf.

Voorbeelden van tracking codes

Een veelgebruikte toepassing van PublicWWW is het opsporen van trackingcodes:

• Google Analytics: via UA-12345678 kan je achterhalen welke sites met elkaar verbonden zijn
• Facebook Pixel ID: laat zien welke domeinen door dezelfde advertentiecampagnes worden gebruikt
• Hotjar, Mixpanel, Segment: tools voor gedragstracking en analytics

Deze informatie is waardevol voor:

• Asset correlation
  Sites die dezelfde tracking-ID gebruiken, horen vaak bij dezelfde organisatie
• Scope-uitbreiding in bug bounty
  Domeinen buiten de opgegeven scope kunnen alsnog eigendom blijken via gedeelde trackingcode
• Shadow IT detectie
  Bijvoorbeeld vergeten microsites die nog actief zijn, maar dezelfde UA-ID gebruiken

SEO en security overlap

PublicWWW maakt het ook mogelijk om SEO-gerelateerde fingerprints te koppelen aan security-insights:

• Onveilige canonical-tags
  Dieperliggende pagina’s met verkeerde redirects
• Openlijke verwijzingen naar staging-omgevingen
  Bijvoorbeeld: staging.domain.com of test-api.domain.com
• SEO-tools en CDN’s
  Externe scripts die pagina’s aanpassen of injecties mogelijk maken

SEO-fragmenten kunnen een ingang vormen voor pentesters om technische misconfiguraties te vinden in ogenschijnlijk onschuldige metadata.

Gebruik in pentests

PublicWWW is bij uitstek geschikt in de OSINT- en reconnaissancefase. Typische toepassingen zijn:

• Detectie van exposed JavaScript-files
  Denk aan config.js met hardcoded API-sleutels
• Vergelijking van domeinen op basis van shared code
  Achterhaal of meerdere domeinen van dezelfde eigenaar zijn
• Zoek naar API-endpoints en parameters
  Denk aan /api/v1/login of fetch("https://api.domain.com/auth")
• Detectie van hergebruikte scripts in phishing-domeinen
  Kwaadwillende actoren kopiëren vaak legitieme code — wat via fingerprinting opvalt
• Subdomeinen ontdekken via in-code verwijzingen
  Zoals cdn.domain.com, files.domain.com, auth.domain.com

Deze informatie geeft een breder beeld van de infrastructuur en biedt vaak nieuwe ingangen voor verdere analyse of exploitatie.

Praktisch voorbeeld

Tijdens een pentest op een e-commerceplatform werd via PublicWWW een shared analytics-ID gevonden op een domein dat buiten de opgegeven scopelijst viel. Het domein bevatte echter een adminpanel met een loginpagina — via brute-force werd toegang verkregen met hergebruikte credentials. De volledige aanval begon met passieve code-analyse, zonder scanning of directe interactie met systemen.

Dergelijke hacking-technieken tonen aan hoe kleine stukjes metadata uiteindelijk leiden tot serieuze kwetsbaarheden.

Best practices bij gebruik

Pentesters gebruiken PublicWWW effectief door:

• Te zoeken op specifieke identifiers zoals UA-, fbq( of gtag(
• Gebruik van wildcards en substrings in trackingcodes of URLs
• Combineren met grep.app of Searchcode voor intern gebruik van dezelfde fragmenten
• Cross-referencing met tools als Hunter.io of Shodan om e-mailadressen of IP’s te koppelen aan gevonden domeinen
• Rapporteren van impact via chain-of-exploitation in pentestverslagen

PublicWWW biedt ook een API waarmee je grootschalige analyses kunt uitvoeren of integraties kunt bouwen in reconnaissance scripts.

16. Crt.sh (Certificate Search)

crt.sh certificate search is een openbare zoekmachine waarmee je SSL/TLS-certificaten kunt doorzoeken die zijn vastgelegd in zogenaamde Certificate Transparency (CT) logs. Voor pentesters is crt.sh een van de krachtigste bronnen voor het ontdekken van subdomeinen, stagingomgevingen en verborgen systemen, zonder enige vorm van actieve interactie met het doelwit.

Informatie die in SSL-certificaten staat, wordt vaak onderschat, maar kan leiden tot kwetsbare ingangen en ongepatchte omgevingen — en dat alles volledig passief. Crt.sh is gratis, snel en betrouwbaar en vormt een vast onderdeel van moderne OSINT- en reconstrategieën.

Hoe crt.sh werkt

Elke keer dat een organisatie een nieuw SSL/TLS-certificaat aanvraagt, wordt dit automatisch gelogd in een Certificate Transparency log. Deze logs zijn openbaar toegankelijk en bevatten onder andere:

• De Common Name (CN) van het certificaat
• Alle Subject Alternative Names (SANs), waaronder subdomeinen
• De uitgevende certificaatautoriteit (CA)
• De timestamp van aanvraag
• Eventuele metadata zoals key usage, serial number, etc.

Crt.sh indexeert deze logs en maakt ze doorzoekbaar via:

• Domeinnaam (%.bedrijf.nl)
• Substring-zoekopdrachten
• Certificaat-id of SHA1/SHA256 fingerprint
• Datum of CA-filter

Subdomeinen vinden via certificaten

Een van de belangrijkste toepassingen van crt.sh is het vinden van subdomeinen. Bijvoorbeeld:

Zoekopdracht: %.targetbedrijf.nl
Resultaten:

• vpn.targetbedrijf.nl
• test-api.targetbedrijf.nl
• admin-panel.targetbedrijf.nl
• dev-internal.targetbedrijf.nl

Veel van deze subdomeinen zijn niet terug te vinden via DNS-brute forcing of Google Dorks, maar wél via certificaten die ooit zijn aangemaakt — zelfs als ze inmiddels verlopen zijn.

Deze subdomeinen kunnen toegang geven tot:

• Test- of stagingservers
• Adminportalen
• API-endpoints
• Developeromgevingen
• VPN-ingangen

Voor pentesters is dit waardevolle informatie die verder onderzocht kan worden met tools zoals Shodan, Censys of FullHunt.

Pentesting toepassingen

Crt.sh wordt breed ingezet in de recon-fase van pentests, met toepassingen zoals:

• Subdomain enumeration
  Beter en dieper dan traditionele brute-force
• Opsporen van shadow IT
  Systemen buiten het zicht van het IT-team, maar wél publiek beschikbaar
• Controle op wildcardcertificaten
  *.bedrijf.nl kan wijzen op slechte segmentatie en verhoogd risico bij compromise
• Historische analyse van infrastructuur
  Domeinen of servers die ooit bestonden, maar vergeten zijn op te schonen
• Chain-building van aanvalspaden
  Van subdomein naar stagingserver naar interne credentials

Crt.sh laat ook certificaten zien van onderliggende diensten zoals CDN’s of derde partijen, wat weer leidt tot nieuwe aanvalsvectoren.

Voorbeeld van misconfiguraties

Een pentestteam ontdekte via crt.sh een subdomein admin-old.klantnaam.nl dat nooit verwijderd was uit de DNS. De server bleek nog live en draaide op een kwetsbare versie van phpMyAdmin zonder tweefactorauthenticatie. Door het gebruik van hergebruikte credentials uit een eerdere breach werd toegang verkregen tot de volledige databaseomgeving. Alles begon met een simpele zoekopdracht in crt.sh.

Best practices voor gebruik

Voor pentesters zijn dit effectieve tactieken:

• Zoek met wildcards: Gebruik %.doelwit.nl om álle bekende subdomeinen te zien
• Controleer op oudere certificaten: Zelfs verlopen domeinen kunnen nog live zijn
• Koppel met andere tools: Combineer resultaten met scans van BinaryEdge, Shodan of Leakix
• Let op staging/testwoorden in subdomeinen: staging., dev., test. en old. zijn vaak vergeten of minder goed beveiligd
• Check op wildcardcertificaten: Onbedoeld gebruik van *.bedrijf.nl vergroot het risico bij key leakage

Crt.sh biedt ook een eenvoudige en snelle webinterface zonder registratie. Voor grotere projecten kan het gecombineerd worden met tools zoals CertSpotter, Subfinder of Amass, die crt.sh-gegevens automatisch ophalen en structureren.

17. Vulners.com (Vulnerabilities)

Vulners vulnerability database is een geavanceerd platform waarmee pentesters snel en gericht bekende kwetsbaarheden kunnen opsporen. Het biedt toegang tot een gecentraliseerde zoekmachine voor CVE’s, exploits, advisories, scannerresultaten en patchinformatie. Wat Vulners onderscheidt, is de focus op snelheid, integratie en bruikbaarheid tijdens actieve en passieve pentesting workflows.

Voor ethical hacking is het vinden van kwetsbare softwareversies pas het begin — het koppelen van die versies aan bekende exploits maakt het verschil tussen een bevinding en een directe toegang. Vulners automatiseert dat proces.

Wat Vulners uniek maakt

Vulners indexeert kwetsbaarheidsinformatie uit tientallen bronnen:

• CVE-database van MITRE
• ExploitDB, Metasploit en Packet Storm
• Security advisories van vendors zoals Cisco, Microsoft, Apache, Red Hat
• Patch notes en changelogs
• Security mailinglists en RSS-feeds
• NVD scoring en contextuele risico-indicatie

De kracht van Vulners zit in de snelle zoekmachine die alle data doorzoekbaar maakt op:

• Softwarenaam + versienummer
• CVE-code
• Poort/service/protocol
• Platform of besturingssysteem
• Zoekwoorden binnen advisories

Het platform werkt ook met zogenaamde bulletins die direct samenvattingen geven van kwetsbaarheden en bijbehorende patches of exploits.

Zoeken naar kwetsbaarheden

Pentesters gebruiken Vulners op verschillende manieren tijdens een pentest:

• Na bannergrabbing of fingerprinting
  Gebruik gevonden versies van Apache, PHP, Tomcat of MySQL om direct te zoeken naar CVE’s
• Via toolintegratie
  Vulners is geïntegreerd in tools zoals Nmap (via NSE scripts), Burp Suite, Nessus en OpenVAS
• Als standalone search engine
  Via de website of API direct zoeken naar kwetsbaarheden op basis van software + versienummer

Voorbeeld: je vindt tijdens een scan Apache HTTP Server 2.4.49
Zoekopdracht: apache 2.4.49
Resultaat: CVE-2021-41773 – Path traversal + RCE mogelijk bij verkeerde configuratie

De koppeling met ExploitDB laat direct zien of er een proof-of-concept exploit beschikbaar is.

Exploits koppelen aan systemen

Vulners maakt het mogelijk om direct te zien:

• Of er publiek beschikbare exploits zijn
• Welk type exploit het is (remote, local, web, privilege escalation)
• In welke taal het geschreven is (Python, C, Metasploit module)
• Wat de impact is (CVSS-score, impact op CIA-triad)
• Of de kwetsbaarheid al actief wordt misbruikt

Deze informatie helpt pentesters om prioriteit te geven aan kwetsbaarheden die daadwerkelijk inzetbaar zijn in hun test. Dat verhoogt de effectiviteit van de simulatie.

Pentesting met Vulners

Binnen een pentest gebruiken onderzoekers Vulners bijvoorbeeld voor:

• Validatie van bevindingen uit scans
  Scanresultaten van tools zoals Nmap, Nessus of Burp koppelen aan Vulners-data
• Snelle CVE-matching tijdens exploitatie
  Bij detectie van een oude versie direct checken of daar een werkende exploit voor beschikbaar is
• Documentatie in rapportages
  CVE’s en bijbehorende info kunnen direct worden opgenomen in het pentestrapport, inclusief risicoanalyse
• Live enrichment van testdata
  Tijdens handmatige tests snel opzoeken wat bekende issues zijn van een gevonden component

Voorbeeld: impact van kwetsbare software

Tijdens een pentest op een educatief platform werd Tomcat 9.0.30 aangetroffen. Via Vulners bleek deze versie kwetsbaar voor CVE-2020-1938 — ook bekend als “Ghostcat”. De exploit was publiek beschikbaar en stelde de pentester in staat om configbestanden te lezen via het AJP-protocol. Hierdoor werden credentials gevonden waarmee toegang tot een beheerpaneel kon worden verkregen. De keten van aanval begon met een eenvoudige versiedetectie en werd direct versterkt met informatie uit Vulners.

Dit scenario laat zien hoe effectief pentesters kunnen werken als ze real-time toegang hebben tot gekoppelde CVE’s en exploitinformatie — zonder tijdverlies.

Integratie met pentest workflows

Vulners biedt een API die makkelijk in scripts of tools verwerkt kan worden. Voorbeelden van gebruik:

• Automatisch aanvullen van scanresultaten met CVE’s
• Vulnerability-as-a-Service via interne portals
• Triage van bevindingen o.b.v. CVSS-score en exploitbeschikbaarheid
• Security automation in CI/CD pipelines

In combinatie met tools als BinaryEdge, FullHunt of Shodan kunnen exposed assets direct worden gematched met kwetsbaarheden die via Vulners zijn geïdentificeerd.

18. Pulsedive.com (Threat Intelligence)

Pulsedive threat intelligence is een platform dat zich richt op het verzamelen, analyseren en verrijken van Indicators of Compromise (IoCs), zoals domeinen, IP-adressen, URLs en hashes. Voor pentesters en threat researchers is het een handige tool om snel te bepalen of een bepaalde indicator verdacht is, waar deze mee geassocieerd wordt en hoe die past in bredere aanvalscampagnes.

Waar veel threat intel-platformen overweldigend of commercieel zijn opgezet, biedt Pulsedive een laagdrempelige interface met zowel gratis als uitgebreide betaalopties. Pentesters gebruiken de tool om verdachte signalen te valideren, OSINT-analyses te verrijken en phishingdomeinen te beoordelen — zonder actieve scans uit te voeren.

Wat Pulsedive biedt

Pulsedive verzamelt gegevens uit tientallen bronnen:

• Open threat feeds (zoals Abuse.ch, PhishTank, URLhaus)
• Malware analysis-platforms
• Certificaatlogs en domeinregistratie-informatie
• Community input en threat hunting-projecten

Elke IOC die je invoert (IP, URL, domein of hash), wordt direct geanalyseerd op:

• Risiconiveau (benign, suspicious, malicious)
• Geassocieerde threat actors of malwarefamilies
• Tijdsframe en eerste detectie
• Links met andere IoCs
• Geografische locatie en ASN-data

Daarnaast geeft Pulsedive context over exploit attempts, phishingactiviteiten en herkomst van de IOC in eerdere incidenten.

Indicatoren van Compromis (IoCs)

Pentesters en analisten gebruiken Pulsedive voor verschillende soorten IoCs:

• Domeinen – phishingdomeinen, typo-squatting, rogue mailservers
• IP-adressen – command & control, brute-force hosts, spam
• URLs – links in phishingmails, redirect chains, malafide scripts
• Hashes – van bestanden of payloads die bij een aanval horen

Door één IOC in te voeren, toont Pulsedive vaak een heel netwerk aan gerelateerde entiteiten. Dit maakt het mogelijk om aanvalscampagnes en infrastructuur van aanvallers te reconstrueren.

Hoe pentesters Pulsedive gebruiken

Pulsedive is bij uitstek geschikt voor:

• Controle van phishing- of malwaredomeinen
  Ontvangen via OSINT, gevonden met tools als Urlscan.io of PublicWWW
• Valideren van bevindingen in social engineering tests
  Controleren of links die in phishingmails zijn gebruikt reeds bekend zijn in threat feeds
• Detectie van C2-infrastructuur
  IP’s gevonden via netwerkverkeer analyseren op connecties met bekende botnets of APT-groepen
• Threat enrichment in rapportages
  Toevoegen van context over IOC’s om de impact van bevindingen te onderbouwen
• Hunting op campagnebasis
  Door zoeken op keywords of malwarefamilies om verwante domeinen en hosts te vinden

Pentesters gebruiken Pulsedive niet alleen voor validatie, maar ook om inzicht te krijgen in hoe doelwitten al in andere aanvallen zijn betrokken — of hoe hun infrastructuur hergebruikt wordt.

Integratie met SIEM/SoC

Hoewel Pulsedive een lichte interface heeft, is het ook goed te integreren met professionele securitysystemen. De API biedt:

• Realtime threat feed access
• IOC enrichment binnen Splunk, Elastic, QRadar
• Automatische alerts bij nieuwe matches op IOC-profielen
• Exportmogelijkheden naar STIX, JSON of CSV-formaat

Voor pentesters met toegang tot het SIEM van de klant (bij Red Team-opdrachten) is Pulsedive waardevol bij het correleren van interne logs met externe dreigingsinformatie.

Praktische pentestscenario’s

• Scenario 1: Een pentester ontvangt een subdomein login-klantnaam-support.com via OSINT. Pulsedive toont dat dit domein gelinkt is aan een bekende phishingcampagne gericht op financiële instellingen.
• Scenario 2: Tijdens netwerkmonitoring komt een onbekend IP naar voren. Pulsedive koppelt het IP aan een C2-server van de Emotet-malware uit een eerdere campagne.
• Scenario 3: Een geüploade executable tijdens een phishingtest levert een SHA256-hash op. Pulsedive herkent deze hash en koppelt het bestand aan een bekende remote access tool (RAT).

Dergelijke bevindingen geven direct extra impact aan het pentestverslag, en tonen aan dat systemen daadwerkelijk misbruikt kunnen worden.

Waarom Pulsedive nuttig is in hacking workflows

In hacking- en pentestprocessen draait alles om verbanden leggen. Tools zoals Pulsedive versnellen dat proces door ruwe IOC’s te verrijken met context, historie en technische details. Dit maakt de tool niet alleen bruikbaar voor dreigingsanalyses, maar ook voor:

• OSINT-gedreven recon
• Social engineering validatie
• Incident response simulatie
• Infrastructurele mapping van dreigingen

Omdat het platform deels open is, kan elke pentester laagdrempelig beginnen zonder direct in complexe enterprise-platforms te duiken.

19. Zoomeye.org (Threat Intelligence)

Zoomeye threat intelligence is een geavanceerde zoekmachine die internetbrede scans uitvoert en kwetsbare systemen en apparaten indexeert. Het platform is ontwikkeld door het Chinese cybersecuritybedrijf Knownsec en staat bekend als het “Chinese Shodan”. Voor pentesters is Zoomeye een waardevolle bron van alternatieve scanresultaten, vooral voor infrastructuur in Azië en omgevingen die onder de radar blijven bij westerse tools.

De tool richt zich op blootgestelde services, apparaten, servers en ICS-systemen, met een interface die geoptimaliseerd is voor technische zoekopdrachten. De combinatie van device-fingerprinting en threat intelligence maakt het geschikt voor zowel infrastructuurreconnaissance als risicoanalyse.

Geschiedenis van Zoomeye

Zoomeye werd gelanceerd als een academisch project en groeide snel uit tot een volwaardig intelligence-platform. Waar Shodan bekendstaat om zijn device focus en Censys om certificaatdata, richt Zoomeye zich op een combinatie van:

• Internet of Things (IoT)
• Servers en services
• Webapplicaties
• SCADA en industriële netwerken
• Threat activity monitoring

Met name bij Red Team-operaties in Aziatische regio’s biedt Zoomeye unieke inzichten die elders niet beschikbaar zijn.

Vergelijking met FOFA en Shodan

Kenmerk	Zoomeye	FOFA	Shodan
Taalinterface	Chinees/Engels	Chinees/Engels	Engels
Focusgebied	Azië, wereldwijd	China, open services	Wereldwijd, breed
Zoekmogelijkheden	TCP/UDP, service, banner	Certificaten, hostnames	Service, org, port
Threat data	Ja, inclusief malware feeds	Ja, via FOFA threat center	Beperkt (via addons)

Zoomeye biedt met name meer zicht op Aziatische IP-blokken, IoT-exposure en industriële controleomgevingen dan de meeste westerse tools.

Welke data pentesters vinden

Pentesters kunnen in Zoomeye zoeken op basis van:

• IP of IP-range
• Poortnummers (bijv. port:21)
• Service- of bannerspecifieke info (bijv. app:nginx)
• Geolocatie of ASN
• Softwarenaam + versienummer
• Device-type (bijv. camera, NAS, router)

Veelvoorkomende vondsten via Zoomeye:

• NAS- of CCTV-systemen met standaardwachtwoorden
• SCADA-interfaces die publiek toegankelijk zijn
• Open RDP- of VNC-servers zonder versleuteling
• Legacy Windows-servers met SMBv1 actief
• Exposed Elasticsearch- en Redis-databases

Voor pentesters die infrastructuur in China, Singapore, Zuid-Korea of Japan onderzoeken, levert Zoomeye vaak meer en andere resultaten dan Shodan of BinaryEdge.

Risico’s en ethiek

Hoewel Zoomeye net als andere tools publieke data toont, is het belangrijk om de gegevens ethisch te gebruiken:

• Geen exploitatie zonder toestemming
• Gebruik alleen binnen scope van een pentest of bug bounty
• Geen misbruik maken van exposed credentials of testservers
• Combineer met responsible disclosure waar mogelijk

Net als bij andere search engines geldt: Zoomeye laat zien wat publiek zichtbaar is, maar dat betekent niet automatisch dat je het mag of moet gebruiken zonder toestemming.

Toepassingen in pentests

Zoomeye wordt in pentests ingezet voor:

• Extern asset discovery
  Achterhalen welke systemen of services buiten controle van IT staan
• Validatie van patchbeheer
  Servers met verouderde versies van software identificeren
• Opbouw van attack surface
  Combineren van subdomeinen, IP’s en services tot één logisch geheel
• Detectie van zwakke segmentatie
  Systemen die uit andere netwerken bereikbaar zijn, maar dat niet zouden mogen zijn
• Controle op industriële apparaten
  Denk aan HMI’s, PLC’s of SCADA-panelen met onbeveiligde toegang

Ethical hacking voorbeeld

Tijdens een internationale pentest werd via Zoomeye een subdomein gevonden (vpn.old-doelwit.cn) dat niet in DNS zichtbaar was, maar nog wel actief luisterde op poort 443. De SSL-banner onthulde dat het ging om een oude Pulse Secure VPN, kwetsbaar voor CVE-2019-11510. De ontdekking leidde tot toegang tot interne documentatie en gebruikersdata. Deze server was in Shodan en Censys niet zichtbaar — alleen Zoomeye had de exposure gelogd.

Dit soort bevindingen maken duidelijk hoe krachtig Zoomeye kan zijn in reconfases van hacking-simulaties.

20. Iv.re (Server)

Iv.re server search is een krachtige, minimalistische zoekmachine die gespecialiseerd is in het analyseren van publieke servers en hun netwerkexposure. Voor pentesters biedt Iv.re een snelle manier om IP-adressen, domeinen en services te koppelen aan hun bijbehorende infrastructuur — volledig passief en zonder actieve scans.

In tegenstelling tot platforms zoals Shodan of Censys, die uitgebreide interfaces en metadata bieden, richt Iv.re zich op snelheid en eenvoud. Het toont precies wat nodig is: welke servers bestaan, hoe ze bereikbaar zijn, welke poorten openstaan en wat de bijbehorende hostnamen en SSL-informatie zijn.

Wat Iv.re biedt

Iv.re scant continu het internet en indexeert technische informatie van servers en hosts. De zoekmachine geeft inzicht in:

• Actieve IP-adressen en poorten
• Serverbanner-informatie (bijv. Apache, NGINX, SSH)
• SSL-certificaten en SAN-gegevens
• Hostnamen en subdomeinen
• ASN en locatiegegevens
• Reverse DNS-records

De interface is gericht op eenvoud: één zoekbalk, directe resultaten, zonder poespas. Dit maakt het bij uitstek geschikt voor snelle pentest-reconnaissance of asset discovery.

Server identificatie en mapping

Een typische workflow met Iv.re:

1. Zoek op IP of subnet
   Bijvoorbeeld: 185.23.56.0/24
   Direct zicht op alle actieve IP’s binnen het blok
2. Analyseer open poorten en banners
   Ontdek services zoals SSH, FTP, SMTP, HTTP(S) of custom services
3. Controleer op SSL-certificaten
   Welke domeinen horen bij dit IP? Welke certificaatautoriteit is gebruikt?
4. Hostnamen en subdomeinen
   Ook niet-resolveerbare subdomeinen kunnen worden herleid via certificaatdata
5. ASN- en netwerkinformatie
   Beoordeel de herkomst en scope van een infrastructuur

Deze gegevens kunnen direct worden gebruikt om doelgerichte pentest-aanpakken te ontwerpen — zonder ruis.

Praktische pentest scenario’s

Iv.re komt van pas in de volgende situaties:

• Stealth-reconnaissance zonder interactie
  Informatie ophalen zonder connecties met het doelwit
• Validatie van shadow IT
  Servers buiten het beheer van de organisatie die toch live staan
• Identificatie van oude of ongepatchte systemen
  Denk aan FTP-servers, oude OpenSSH-versies of verouderde webservers
• Vaststellen van shared hosting
  Meerdere domeinen op één IP-adres kunnen wijzen op shared infrastructuur
• Bevestiging van asset ownership
  Als e-mail of certificaatgegevens terugverwijzen naar de organisatie

Vergelijking met Shodan

Kenmerk	Iv.re	Shodan
Interface	Minimalistisch & snel	Visueel en uitgebreid
Scanmethode	Actief + passief	Actief
SSL-informatie	Ja	Ja
Portdata	Ja, overzichtelijk	Ja, zeer gedetailleerd
Filters	IP, poort, ASN, banner	Veelzijdiger, maar complexer
Gebruikersdoel	Snelle OSINT & recon	Brede infrastructuuranalyse

Iv.re is geen vervanging van Shodan, maar een aanvulling — vooral als je snelheid en eenvoud nodig hebt tijdens OSINT en initiële reconnaissance.

Praktische bevinding tijdens pentest

Bij een pentest op een leverancier in de zorgsector gebruikte het team Iv.re om een ASN-blok te doorzoeken dat volgens Whois-data gelinkt was aan het bedrijf. Daarbij werd een vergeten server aangetroffen op vpn-old.klantnaam.net, met een verouderde SSL-certificaatketen en een webinterface op poort 8443. De banner onthulde een legacy VPN-oplossing die kwetsbaar was voor CVE-2019-1579. De combinatie van certificaatdata en bannerinformatie — zonder actieve scan — leidde tot een directe en effectieve exploitkans.

Dergelijke hacking-scenario’s tonen aan hoe krachtig passieve serverinformatie kan zijn.

21. Netlas.io (Attack Surface)

Netlas attack surface is een krachtige zoek- en analyse-engine die organisaties helpt bij het ontdekken, monitoren en evalueren van hun externe IT-assets. Voor pentesters is het een alles-in-één OSINT-tool die subdomeinen, services, DNS-records, TLS-certificaten en netwerkconnecties samenbrengt in één interface. De kracht van Netlas zit in de snelheid, de diepte van de data en de flexibiliteit van het zoekplatform.

Netlas.io combineert functies van tools zoals Shodan, Censys, crt.sh en SecurityTrails — maar dan met een moderne interface en slimme filtering. Pentesters gebruiken het in reconfases om het volledige aanvalsoppervlak van een doelwit bloot te leggen zonder actieve scans uit te voeren.

Wat Netlas uniek maakt

Netlas indexeert en correleert data van:

• DNS-records (A, AAAA, MX, TXT, CNAME)
• SSL-certificaten en TLS-handshakes
• HTTP(s)-banners en headers
• Subdomeinen uit certificaatlogs
• ASN- en IP-informatie
• Portscans en versiedetectie

Alles is toegankelijk via een krachtige zoektaal die vergelijkbaar is met die van Elasticsearch of Splunk. Voorbeeld:
domain:bedrijf.nl AND service:http AND header:"X-Powered-By"

Zoekopdrachten kunnen tot op poortniveau worden gefilterd en gecombineerd met geolocatie, hostnames, softwareversies en meer.

Attack surface management in pentests

Pentesters gebruiken Netlas.io voor:

• Volledige asset discovery
  Subdomeinen, IP-adressen, cloudservices en derde partijen in kaart brengen
• Identificatie van vergeten of shadow IT
  Externe servers, testomgevingen of tools die buiten beheer vallen
• Detectie van kwetsbare softwareversies
  Zoals Apache 2.4.49, Exim 4.91 of VPN-servers met bekende CVE’s
• Segmentatieanalyse
  Systemen die via het internet bereikbaar zijn, maar dat niet zouden moeten zijn
• Onderbouwing van risico’s
  Met direct bewijs van exposed services, headers, SSL-certificaten of response-banners

Voorbeelden van kwetsbaarheden

Via Netlas.io vinden pentesters regelmatig:

• Subdomeinen zoals dev-api.klantnaam.nl of admin.test.klantnaam.com
• Public-facing admin panels (Jenkins, Kibana, phpMyAdmin)
• Configuratiefouten in headers zoals Access-Control-Allow-Origin: *
• Certificaten die verlopen of wildcard-certificaten met te brede scope
• CDN- en cloud misconfiguraties met open toegang tot assets

De tool maakt het mogelijk om deze assets snel te filteren en prioriteren, zonder het risico van opgemerkt te worden tijdens actieve scans.

Voorbeelden van kwetsbaarheden in context

Tijdens een pentest voor een logistiek bedrijf ontdekte een analist via Netlas het subdomein track-beta.klantnaam.nl. Dit domein werd niet gevonden via Google of DNS-brute forcing, maar wel via certificaatdata. De server draaide een verouderde versie van Laravel met debug-modus aan. Via een foutmelding in de HTTP-header werd de locatie van een .env-bestand zichtbaar, dat vol stond met credentials voor de stagingdatabase. Deze toegang leidde tot gevoelige klantinformatie en bewijst hoe hacking vaak begint bij slechte exposure-analyse.

Integratie met security workflows

Netlas biedt een API waarmee pentesters de tool eenvoudig kunnen integreren in eigen scripts of recon-tools. Mogelijke toepassingen:

• Automatische discovery van nieuwe subdomeinen
• Alerting bij nieuwe open poorten of services op bekende IP’s
• Koppeling met SIEM of assetmanagementtools
• Asset monitoring in langdurige Red Team trajecten

De API maakt het mogelijk om Netlas in te zetten als OSINT-datalake, gevoed met actuele infrastructuurinformatie.

22. App.binaryedge.com (Threat Intelligence)

BinaryEdge threat intelligence biedt een compleet beeld van de wereldwijde internetblootstelling van systemen, netwerken en applicaties. De tool verzamelt continu data via grootschalige internet-wide scans en verrijkt die met threat intelligence, service-informatie en assetdetails. Voor pentesters betekent dit directe toegang tot blootgestelde infrastructuur en kwetsbare systemen, zonder eerst te hoeven scannen.

BinaryEdge richt zich op asset discovery en threat exposure vanuit een technisch perspectief. De focus ligt op snelheid, schaal en de combinatie van service fingerprinting met risico-informatie.

Wat is BinaryEdge?

BinaryEdge bestaat uit verschillende modules die samen een breed platform vormen:

• Internet Scanning: alle IPv4-adressen worden continu gescand op open poorten, services en headers
• Certificate Scans: TLS-certificaten worden geanalyseerd op inhoud, geldigheid en herkomst
• Vulnerability Exposure: detectie van bekende kwetsbaarheden op IP’s of domeinen
• Threat Intel Feeds: integratie van IOC’s, botnets en malware-gerelateerde IP’s
• API & Exports: directe koppeling van data met je pentesttools of dashboards

De webinterface biedt snelle zoekfunctionaliteit, terwijl de API meer geschikt is voor geautomatiseerde workflows.

Voorbeeldzoekopdrachten:

• domain:doelwit.nl
• port:445 country:NL
• product:Apache AND version:2.4.49
• tag:vulnerable
• ssl.subject:"CN=*.klantnaam.com"

Belang voor threat intelligence

BinaryEdge is vooral krachtig in het signaleren van:

• Kwetsbare services met bekende versies (zoals SMB, RDP, Elasticsearch)
• Vergeten of ongedocumenteerde assets via TLS-certificaten of hostnames
• IP’s die in botnetactiviteiten voorkomen of malware hosten
• Servers die actief worden aangevallen, op basis van honeypot-koppeling

De tool combineert threat intelligence met live infrastructuurdata. Dat maakt het bijzonder geschikt voor Red Team-operaties, incident response én preventieve pentests.

Use cases in pentesting

Pentesters gebruiken BinaryEdge voor:

• Reconnaissance zonder direct scannen
  Ontdek welke assets online staan en welke services open zijn.
• Scope-analyse voorafgaand aan pentests
  Wat is er echt blootgesteld — en valt het binnen of buiten scope?
• Detectie van kwetsbare versies
  Zoek bijvoorbeeld naar Apache 2.4.49, Fortinet SSL VPN of Exchange-servers met bekende CVE’s.
• Validatie van cloudconfiguraties
  Zijn er S3 buckets of VPS-servers met foutieve poortinstellingen?
• Vergelijken van resultaten met Shodan en Onyphe
  Voor meer volledigheid en cross-validatie van bevindingen

Vergelijking met Shodan

Feature	BinaryEdge	Shodan
Snelheid van scans	Zeer snel	Gemiddeld
Data-verrijking	Zeer uitgebreid	Goed, maar minder contextueel
Threat Feeds	Ingebouwd	Beperkt
Certificate scanning	Geavanceerd	Beschikbaar, maar minder filteropties
UI & usability	Meer technisch	Toegankelijker voor beginners

BinaryEdge is technisch sterker op gebied van data-extractie en -filtering, terwijl Shodan makkelijker navigeert. In combinatie zijn ze bijzonder krachtig.

Pentesting voorbeeldscenario

Een pentest op een SaaS-platform begon met een BinaryEdge-zoekopdracht op domain:klantnaam.com. De resultaten toonden een exposed Elasticsearch-service op poort 9200 met versie 6.0.1. Via de product en version filters werd een kwetsbare configuratie gevonden die ongeauthenticeerde toegang toestond. De index bevatte gebruikerslogdata inclusief e-mailadressen. Door de koppeling met threat feeds bleek het IP eerder te zijn misbruikt door een botnet — extra bewijs dat het asset écht risico liep. Deze vorm van hacking begon volledig passief, zonder directe interactie met het systeem.

Voordelen van BinaryEdge

• Volledig internetdekkend – alle IPv4-ranges worden continu gescand
• Gedetailleerde scans – met headers, versies en certificaatdata
• Threat correlation – inzicht in of een asset al doelwit is geweest
• API-klaar – gemakkelijk te integreren in pentesttools of SIEM
• Realtime zoekresultaten – ontdek kwetsbaarheden terwijl ze live staan

Koppeling met andere tools

Gebruik BinaryEdge samen met:

• Netlas of Onyphe – voor bredere context en subdomeinkoppelingen
• crt.sh en Censys – voor certificaatanalyse
• Amass / Subfinder – voor subdomain enumeration, gecombineerd met BinaryEdge voor validatie
• Burp Suite / Nuclei – scan assets die je via BinaryEdge ontdekt hebt

Deze combinatie zorgt voor snelheid, stealth en schaalbaarheid in je pentestworkflow.

23. Viz.greynoise.io (Threat Intelligence)

GreyNoise threat intelligence biedt pentesters en security professionals inzicht in achtergrondverkeer op het internet. Waar traditionele tools focussen op wat er op een specifiek IP of domein draait, kijkt GreyNoise naar wie er probeert te scannen, waar vandaan, en met welk gedrag.

De tool helpt onderscheid te maken tussen normale internetactiviteit en gerichte aanvalspogingen. Voor pentesters is het vooral waardevol in de OSINT- en detectiefase: het geeft direct zicht op of een IP-adres bekendstaat als bron van scanning, botnets of ongewenste activiteit.

Wat GreyNoise uniek maakt

GreyNoise verzamelt data via duizenden sensoren verspreid over het internet. Deze sensoren luisteren passief naar inkomende verbindingen en registreren:

• IP-adressen die actief scannen
• Ports en protocollen die worden aangeroepen
• Tools of payloads die gebruikt worden (zoals masscan, zgrab, Mirai)
• Frequentie en patroon van het gedrag
• Tijd van activiteit en geolocatie van het IP

Deze data wordt vervolgens gecategoriseerd in:

• Benign: scanners zoals zoekmachines of researchers
• Malicious: bots, wormen, brute-forcers
• Unknown: nog niet geklasseerde activiteit

Elke zoekopdracht naar een IP levert direct status, gedrag, locatie en classificatie op.

Detecteren van scanning activity

Pentesters gebruiken GreyNoise onder andere om:

• Na te gaan of een target-IP al wordt gescand door anderen
• Controleren of eigen scan-IP’s opvallen bij defensieve tooling
• Gedragspatronen van scanners te analyseren voor verdediging of mimicry
• Begrijpen welke poorten, protocollen en services het vaakst worden aangevallen

Dit inzicht is waardevol voor stealth-operaties. Als je zelf niet zichtbaar wilt zijn, is het nuttig om te weten wat wél opvalt.

GreyNoise biedt ook een tagging-systeem dat IP’s groepeert onder categorieën zoals:

• Mirai, Masscan, zmap, OpenSSH scanner
• RDP brute force, IoT vuln scan, Webshell scanner
• Tor exit node, Proxy/VPN, Known malware C2

Hoe pentesters GreyNoise gebruiken

• Verifiëren of een IP actief is als scanner
  Bijvoorbeeld vóór je een red team-operatie start, om te bepalen of je infrastructuur al verdacht is.
• Aantonen van achtergrondruis tijdens een pentest
  Bij false positives kun je bewijzen dat een asset breed wordt gescand, ongeacht jouw acties.
• Validatie van client-IP’s bij logging tests
  Als een organisatie logt, helpt GreyNoise bij het onderscheiden van normale ruis en doelgerichte actie.
• Threat attribution bij incident response simulaties
  Is een aanval onderdeel van een gerichte campagne of slechts onderdeel van een massa-scan?

Case study voorbeelden

Voorbeeld 1:
Tijdens een pentest werd vastgesteld dat het externe IP van de klant binnen 24 uur 200 keer gescand werd op poort 445. Via GreyNoise bleek dat 80% van de activiteit afkomstig was van bots met het label smb-worm uit verschillende landen. De pentester kon aantonen dat de open poort niet alleen een kwetsbaarheid was, maar ook daadwerkelijk opgemerkt werd in de hacking ecosystemen.

Voorbeeld 2:
Een pentester gebruikte een eigen VPS voor scanning. Na enkele dagen meldde het team dat hun IP gelogd werd door defensieve tooling. GreyNoise bevestigde dat het IP inmiddels was gelabeld als Masscan scanner, zichtbaar voor iedereen. Het team roteerde de scaninfrastructuur en paste het tempo aan om detectie te vermijden.

Pentester scenario’s in de praktijk

• Opbouw van stealth scanning strategieën
  Door gedrag van botnets te analyseren, kunnen pentesters soortgelijke patronen volgen en camouflage gebruiken.
• Beoordelen van risico’s voor specifieke poorten of services
  Een asset op poort 8080 trekt meer aandacht dan gedacht? GreyNoise laat zien hoeveel traffic daar terechtkomt.
• Controle van eigen IP footprint
  Red Teams die langdurige operaties uitvoeren, gebruiken GreyNoise om hun IP-reputatie te monitoren.
• Onderbouwing van prioriteit in rapportage
  Assets die regelmatig worden gescand hebben een hoger exploitatie-risico. Dit kan prioritering beïnvloeden.

Hoe Viz.greynoise.io integreert in workflows

• GreyNoise CLI: voor snelle command line queries in scripts
• API access: voor geautomatiseerde checks tijdens OSINT-fase
• SIEM-integratie: bij SOC-operaties of detection engineering
• Maltego transform: visualiseer scanactiviteit en IP-relaties
• Tag-based queries: snel filteren op type scanner of gedrag

GreyNoise werkt uitstekend naast tools als Shodan, Censys, BinaryEdge en Onyphe. Waar die tools laten zien wat er online staat, toont GreyNoise wie er kijkt en waar ze naar zoeken.

Voordelen voor pentesters

• Realtime inzicht in IP-gedrag wereldwijd
• Beter risicobegrip van blootgestelde systemen
• Efficiëntie in logging en detectievalidatie
• Ondersteuning van stealth-operaties
• Gedragsanalyse van bots en scanners

GreyNoise voegt context toe die andere tools missen. Het kijkt niet naar de infrastructuur zelf, maar naar het gedrag van het internet daartegenover.

24. Hunter.io (Email Addresses)

Hunter.io email search is een krachtige OSINT-tool waarmee pentesters eenvoudig zakelijke e-mailadressen kunnen verzamelen die openbaar gelinkt zijn aan een domeinnaam. Waar traditionele reconnaissance zich vaak richt op technische infrastructuur, maakt Hunter.io het mogelijk om aan de menselijke kant van security te beginnen — de gebruiker zelf.

E-mailadressen zijn vaak het startpunt van gerichte aanvallen zoals phishing, credential stuffing of social engineering. Deze tool biedt inzicht in welke contactinformatie voor iedereen zichtbaar is, inclusief de onderliggende patronen die je kunt misbruiken of benutten binnen een pentest.

Hoe Hunter.io werkt

Hunter.io verzamelt en indexeert e-mailadressen van openbare webbronnen. Dit zijn onder andere:

• Webpagina’s
• PDF’s en andere documenten
• Social media-profielen
• WHOIS-informatie
• Persberichten, blogartikelen en nieuwsfeeds

Je voert simpelweg een domeinnaam in, zoals bedrijf.nl, en Hunter.io toont:

• Alle gevonden e-mailadressen
• De pagina waarop het adres is gevonden
• Datum van ontdekking
• Het patroon waarin de e-mails zijn opgebouwd

Voorbeeldpatronen:

• voornaam@bedrijf.nl
• voorletter.achternaam@bedrijf.nl
• voornaam.achternaam@bedrijf.nl

Door dit patroon te herkennen kun je onbekende adressen voorspellen, bijvoorbeeld op basis van een LinkedIn-profiel of organigram.

Emailadressen in OSINT en pentests

Hunter.io is bijzonder waardevol in de inlichtingenfase van een pentest. De informatie is passief verzameld, dus je veroorzaakt geen verkeer naar het doelwit. Typische toepassingen:

• Phishingcampagnes voorbereiden
  Verzamel echte adressen voor simulaties of awareness-tests.
• Spear phishing op management
  Identificeer namen, functies en gerichte targets voor meer impact.
• Validatie van e-mailstructuur
  Predictive modelling: welke andere adressen zijn waarschijnlijk bruikbaar?
• Credential stuffing-aanvallen
  Combineer gevonden adressen met eerder gelekte wachtwoorden of bekende patronen.
• Shadow IT ontdekken
  Adressen zoals test@, dev@, of backup@ kunnen leiden naar vergeten systemen.

Risico’s van openbaar e-mailgebruik

Organisaties zijn zich vaak niet bewust van de hoeveelheid e-mails die online vindbaar zijn. De risico’s zijn reëel:

• Spear phishing op basis van functietitels
  Bijvoorbeeld hr@, finance@, of ceo@bedrijf.nl
• Misbruik van B2B-relaties
  Leveranciers of integratiepartners gebruiken e-mails die zichtbaar zijn op meerdere domeinen.
• Gerecyclede of niet-verwijderde accounts
  E-mailadressen van ex-medewerkers kunnen nog toegang geven tot systemen.
• Bots die automatisch e-mails verzamelen
  Niet alleen pentesters gebruiken Hunter.io; ook aanvallers doen dat.

Toepassing in social engineering

Een praktijkvoorbeeld: een pentester wilde testen of medewerkers vatbaar waren voor een interne spear phishing-aanval. Via Hunter.io werden 20 adressen gevonden, waaronder:

• support@bedrijf.nl
• afdeling-ict@bedrijf.nl
• robin.techniek@bedrijf.nl

Het patroon voornaam.afdeling@ werd herkend. De pentester vulde dit aan met LinkedIn-informatie en bouwde een lijst van 80 potentieel werkende e-mails. Eén phishingmail met een nep Office365-inlogpagina leidde tot vijf succesvolle loginpogingen. Alles begon bij de zichtbare gegevens in Hunter.io — zonder scanning, zonder toegang, puur via hacking op basis van gedrag en zichtbaarheid.

Praktische tips voor gebruik

• Zoek ook op verwante domeinen zoals klantnaam-support.nl of klantnaamgroup.com
• Gebruik wildcardtools om patronen te voorspellen: voorletter.achternaam@
• Koppel aan tools zoals HaveIBeenPwned om te zien of adressen in datalekken voorkomen
• Controleer ook PDF’s en whitepapers die op de website staan — Hunter.io indexeert ze vaak
• Combineer met MailTester of Verify-email.org om live te testen of een e-mailadres nog actief is

Waarom pentesters Hunter.io inzetten

• Eenvoudige interface, krachtige output
• Laagdrempelig beginpunt van social engineering
• Waardevolle input voor phishingcampagnes of Red Teaming
• Snelle validatie van gebruikersstructuren
• Uitstekende API voor automatisering in OSINT-workflows

Hunter.io is niet bedoeld als hackingtool, maar in de handen van een ethisch hacker wordt het een scherp mes. Het laat zien dat de zwakste schakel vaak geen technologie is, maar een mens — en dat die mens vaak eenvoudiger te benaderen is dan het netwerk.

25. SecurityTrails (Asset & Domain Intelligence)

SecurityTrails OSINT search is een krachtige bron voor pentesters die willen achterhalen wat er aan domeinen, subdomeinen, IP-adressen en infrastructuur zichtbaar is van een organisatie. Waar veel tools zich richten op live scanning of open poorten, blinkt SecurityTrails uit in historische data, domeinkoppelingen en asset mapping. De tool is passief, snel en breed inzetbaar voor reconnaissance, Red Teaming en externe risicoanalyses.

SecurityTrails staat bekend om de nauwkeurigheid van zijn DNS- en infrastructuurdata. Het platform wordt veel gebruikt door zowel pentesters als threat hunters, vanwege de combinatie van historische DNS-informatie, IP-relaties, subdomein discovery en bedrijfsmatige asset-inventarisatie.

Wat maakt SecurityTrails waardevol voor pentesters

SecurityTrails verzamelt en indexeert informatie over:

• Domeinen en subdomeinen
• DNS-records (A, MX, TXT, NS, CNAME)
• Historische DNS-data (tot jaren terug)
• IP-adressen en hostinglocaties
• AS-gegevens en netwerkstructuren
• SSL-certificaten en reverse WHOIS-data

Je kunt zoeken op een domein, IP-adres, ASN of organisatie en snel een overzicht krijgen van alle online verbonden assets. Alles zonder actieve interactie met het doelwit.

Toepassingen in pentesting en hacking scenario’s

SecurityTrails is met name krachtig in de voorbereidende fase van een pentest, zoals:

• Subdomain enumeration
  Zoek naar subdomeinen die niet meer in gebruik zijn, maar wel nog bestaan in DNS.
• Asset discovery
  Krijg inzicht in andere domeinen, IP’s of infrastructuur die bij hetzelfde bedrijf horen.
• Shadow IT detectie
  Vind oude of vergeten assets via historische DNS-data of SSL-certificaten.
• Correlatie van IP en domeinen
  Koppel publieke IP’s aan interne systemen of cloudresources.
• Passieve OSINT
  Verzamel waardevolle info zonder iets te scannen of op te vallen.

Voorbeeldgebruik: subdomeinlekkage

Tijdens een pentest voor een groot consultancybedrijf werd via SecurityTrails gezocht op het hoofddomein consultco.nl. Naast verwachte subdomeinen als mail. en vpn., werden ook oude staging-omgevingen gevonden zoals:

• dev-v2.consultco.nl
• clientportal-old.consultco.nl
• sharepoint2010.consultco.nl

Door deze subdomeinen in een browser te openen, bleek dat enkele van deze legacy-systemen nog online waren. Eén SharePoint-instantie had geen authenticatie en bevatte honderden PDF-bestanden met klantgegevens. Alles werd gevonden zonder enige actieve hacking, puur door het analyseren van oude DNS-records en hostnames via SecurityTrails.

Belangrijkste functies voor pentesters

• Subdomain Discovery
  Inclusief oude records die nergens anders meer zichtbaar zijn.
• Reverse DNS / Reverse WHOIS
  Ontdek domeinen die bij dezelfde organisatie horen.
• Certificate Search
  Zie welke domeinen certificaten delen, vergelijkbaar met crt.sh.
• Historical Data View
  Bekijk wat er jaren geleden online stond en of het nu echt weg is.
• ASN Lookup
  Koppel infrastructuur aan specifieke hostingbedrijven of cloudaanbieders.

SecurityTrails maakt het eenvoudig om overlooked infrastructure boven tafel te halen — vaak net de systemen die kwetsbaar zijn omdat ze vergeten zijn.

Integratie en API-gebruik

SecurityTrails biedt een krachtige REST API voor geautomatiseerd gebruik in pentest-workflows:

• Query’s op domein, IP of ASN
• Bulkzoekopdrachten en exports
• Integratie met tools als Recon-ng, SpiderFoot, Maltego

Ook populair bij Red Teams die asset inventories opbouwen voorafgaand aan deep engagements.

Waarom SecurityTrails toevoegen aan je toolkit

• Dieper dan standaard subdomain tools zoals Subfinder of Amass
• Zeer geschikt voor stealth OSINT zonder scanverkeer
• Detecteert infrastructuurrelaties tussen domeinen, IP’s en certificaten
• Altijd toegang tot historische DNS-informatie
• Snel overzicht van complete attack surface

SecurityTrails is niet gratis in uitgebreide vorm, maar de gratis versie geeft al veel waardevolle inzichten. Voor professionele pentesters is het een waardevolle aanvulling op tools als crt.sh, Netlas, Shodan en Censys.

26. DNSDumpster (DNS Reconnaissance)

DNSDumpster DNS reconnaissance is een gratis, webgebaseerde zoekmachine die zich richt op het in kaart brengen van DNS-infrastructuur. Voor pentesters is het een snelle en effectieve manier om zicht te krijgen op subdomeinen, IP-adressen, hostnamen, en netwerkstructuren van een organisatie — zonder enige actieve interactie met het doelwit.

Waar tools als Shodan en Censys zoeken naar wat er draait op internet, kijkt DNSDumpster naar de naamgeving, structuur en koppelingen binnen domeinen. Die informatie vormt vaak het fundament van elke goede hacking-voorbereiding.

Waarom DNSDumpster interessant is voor pentesters

DNSDumpster verzamelt publiek beschikbare DNS-informatie uit meerdere bronnen, waaronder:

• Open DNS-servers
• Certificate transparency logs
• Public webcrawlers
• Zone transfers (indien mogelijk)
• Subdomain bruteforcing (passief)

Het resultaat is een gedetailleerd overzicht van:

• Subdomeinen
• A-, MX-, TXT-, en NS-records
• Hostingproviders en ASN’s
• Reverse DNS-data
• IP-geolocatie en visualisatie in netwerkkaart

Typische toepassingen in pentests

Pentesters zetten DNSDumpster vaak in tijdens de verkenningsfase:

• Subdomein discovery
  Snel alle bekende subdomeinen van een doelwitdomein ophalen.
• Detectie van e-mailservers
  MX-records tonen de mailstructuur van een organisatie.
• Begrip van hosting- en netwerkstructuur
  Wie host wat? Zijn er afhankelijkheden van derde partijen?
• Analyse van configuratiefouten
  Onverwachte A-records of TXT-records kunnen wijzen op testomgevingen, oude API’s of configuratieresten.
• Opbouw van aanvalspaden
  Subdomeinen leiden vaak naar vergeten applicaties of interne tooling (zoals vpn., jira., dev., of old.)

Voorbeeldscenario uit de praktijk

Een Red Team-opdracht begon met een scope van bedrijfxyz.com. Via DNSDumpster werden binnen enkele seconden deze subdomeinen gevonden:

• intranet.bedrijfxyz.com
• api-legacy.bedrijfxyz.com
• vpn01.bedrijfxyz.com

De DNS-kaart toonde dat de vpn01-subdomein resolveerde naar een IP in een legacy-datacenter. Door dit te combineren met een poortscan werd een verouderde SSL VPN gedetecteerd — met een bekende kwetsbaarheid. De toegang tot het interne netwerk begon dus met een simpele DNS-lookup.

Sterke punten van DNSDumpster

• Geen registratie vereist — volledig toegankelijk via browser
• Zeer snel en direct overzicht
• Goede visuele weergave van relaties tussen subdomeinen, IP’s en netwerken
• Passieve aanpak — géén verkeer naar het doelwit, dus stealth
• Gratis beschikbaar — waardevol in fast recon of ad-hoc engagements

Vergelijking met andere subdomain tools

Tool	Type	Actief/passief	Geschikt voor stealth?	Visualisatie
DNSDumpster	Web-based	Passief	✅ Ja	✅ Ja
Subfinder	CLI tool	Actief	❌ Nee	❌ Nee
Amass	Hybrid	Half passief	⚠️ Beperkt	❌ Nee
crt.sh	Cert logs	Passief	✅ Ja	❌ Nee
SecurityTrails	API/web	Passief	✅ Ja	⚠️ Beperkt

DNSDumpster is geen vervanging voor grotere frameworks, maar een snelle en visuele aanvulling op tools als crt.sh, Amass of Subfinder.

Tips voor gebruik in pentests

• Combineer met crt.sh en SecurityTrails voor vollediger subdomeinbeeld
• Zoek op alternatieve domeinen zoals bedrijfgroep.com, bedrijfcloud.net, etc.
• Check op directe IP-koppelingen — sommige subdomeinen wijzen naar cloudinstances of legacyservers
• Let op exposed TXT-records — bevatten soms API-sleutels, verificatiegegevens of SPF-instellingen die je verder helpen
• Verzamel data vóór actieve scans — DNSDumpster biedt een perfecte basis voor scopevalidatie

Waarom DNSDumpster in je toolkit hoort

• Laagdrempelig, snel en effectief
• Ideaal voor de eerste OSINT-stap
• 100% passief: geen verkeer naar doelwit
• Handig voor presentaties of rapportages (visuele weergave)
• Sterke combinatie met tools als Amass, crt.sh en Hunter.io

DNSDumpster is misschien niet het meest geavanceerde platform, maar zijn eenvoud maakt het juist zo krachtig. Het biedt in seconden een compleet DNS-profiel van het doelwit — en vaak is dat al genoeg om het eerste ingangspunt te vinden.

27. CertSpotter (Certificate Transparency Search)

CertSpotter certificate search is een krachtige, minder bekende tool waarmee pentesters certificaattransparantiegegevens kunnen doorzoeken om subdomeinen, infrastructuurveranderingen en onverwachte domeinkoppelingen te ontdekken. Deze zoekmachine, ontwikkeld door SSLMate, biedt toegang tot de wereldwijde Certificate Transparency (CT) logs die worden gebruikt om SSL/TLS-certificaten publiekelijk zichtbaar en controleerbaar te maken.

Voor een pentester is CertSpotter waardevol als passieve, niet-detecteerbare manier om nieuwe subdomeinen of services van een doelwit te identificeren — nog vóórdat DNS-records of traditionele tools ze kunnen detecteren.

Wat is CertSpotter precies

CertSpotter monitort Certificate Transparency logs op SSL-certificaten die worden uitgegeven voor een specifiek domein. Elke keer dat een certificaat wordt aangemaakt (zelfs als het voor een testomgeving is), wordt dit gelogd.

Een eenvoudige zoekopdracht zoals:

klantnaam.nl

Levert dan resultaten als:

• vpn.klantnaam.nl
• test-api.klantnaam.nl
• fileshare.klantnaam.nl
• *.internal.klantnaam.nl

Zelfs wildcard-certificaten en tijdelijke testcertificaten komen in de logs terecht. Vaak nog voordat subdomeinen publiekelijk in DNS staan of actief zijn.

Waarom dit nuttig is voor pentesters

Certificaattransparantie is een goudmijn voor OSINT. Pentesters gebruiken CertSpotter voor:

• Subdomein reconnaissance — op basis van uitgegeven certificaten
• Shadow IT-detectie — ontdek systemen die los zijn opgetuigd, zoals tijdelijke omgevingen
• Validatie van infrastructuurveranderingen — wanneer een organisatie overstapt naar een andere CA of hostingprovider
• Up-to-date zicht op attack surface — CT logs zijn realtime; je mist zelden iets nieuws
• Detectie van onverwachte externe koppelingen — zoals derden die certificaten uitgeven voor jouw domein (potentieel misbruik)

Gebruiksscenario: subdomeinvondst via CertSpotter

Bij een pentest voor een overheidsinstantie zocht een Red Team naar verborgen systemen. Via CertSpotter kwamen wildcardcertificaten boven water voor:

• *.dev.infra.overheid123.nl
• *.internal-mgmt.overheid123.nl

Deze subdomeinen bestonden nog niet in DNS, maar waren wel al zichtbaar door de uitgifte van Let’s Encrypt certificaten. Een week later werden ze actief in DNS en bleken testversies van de productieomgeving te bevatten. Zonder een scan of actieve interactie had het team een voorsprong van dagen.

Voordelen van CertSpotter t.o.v. crt.sh

Eigenschap	CertSpotter	crt.sh
Snelheid van updates	✅ Zeer snel	⚠️ Iets trager
Duplicaten gefilterd	✅ Ja	❌ Nee (veel noise)
API beschikbaar	✅ Ja	✅ Ja
Schone interface	✅ Ja	❌ Basis
Gebruik voor automation	✅ Zeer geschikt	⚠️ Minder overzichtelijk

CertSpotter levert minder ruis, snellere resultaten en betere filtering dan crt.sh, waardoor het beter integreerbaar is in pentest- of bug bounty workflows.

Integratie in workflows

CertSpotter kan worden geïntegreerd in tools zoals:

• Recon-ng of custom OSINT scripts
• Amass (CT log integration)
• Nuclei templates voor subdomain monitoring
• Bug bounty automation pipelines
• Maltego transforms voor visualisatie

Het platform ondersteunt ook alerting via webhook-integratie, waardoor je als pentester notificaties krijgt bij nieuwe certificaten die aan een domein gekoppeld zijn.

Tips voor effectief gebruik

• Zoek op hoofddomein én subdomeincombinaties: bedrijf.nl, infra.bedrijf.nl
• Let op vreemde of niet-officiële issuers — kunnen wijzen op misbruik
• Kijk naar oude certificaten met korte geldigheid — vaak voor tijdelijke testomgevingen
• Combineer met SecurityTrails of DNSDumpster om te controleren of de subdomeinen resolven
• Gebruik wildcardmatches om patronen te herkennen (*.vpn.bedrijf.nl, *.dev.bedrijf.nl)

Waarom CertSpotter in je toolkit thuishoort

• Snelle detectie van nieuwe subdomeinen
• Minimale ruis t.o.v. andere CT-tools
• Volledig passieve en stealthy informatiebron
• API geschikt voor automation
• Nuttig voor Red Teams, OSINT-specialisten en bug bounty hunters

CertSpotter is de stille kracht in moderne reconnaissance. Het kijkt vooruit, waar andere tools slechts het heden kennen. Door gebruik te maken van deze transparante bron kom je vaak eerder op kwetsbare systemen dan de beheerder zelf.

28. SpiderFoot HX (Geautomatiseerde OSINT)

SpiderFoot HX OSINT automation is een alles-in-één platform voor geautomatiseerde informatieverzameling. Pentesters gebruiken het om binnen enkele minuten een diepgaand profiel van een doelwit op te bouwen. Het platform doorzoekt honderden bronnen tegelijk — van domeingegevens tot data leaks — en doet dat volledig passief of met beperkte interactie.

Waar veel tools gespecialiseerd zijn in één databron (zoals DNS, WHOIS of IP-informatie), combineert SpiderFoot al die bronnen in één workflow. Ideaal voor Red Teams, bug bounty hunters en securityanalisten die snel zicht willen op de aanvalsvectoren van een organisatie.

Wat maakt SpiderFoot uniek

SpiderFoot verzamelt data via meer dan 200 modules die automatisch informatie ophalen uit o.a.:

• DNS-records en subdomeinen
• WHOIS-informatie
• Leaked credentials en data leaks
• Shodan, Censys, VirusTotal, HaveIBeenPwned
• Geolocatie en netwerkdata
• Social media en meta-informatie
• Dark web monitoring (Tor, Onion-sites)

Je voert één zoekterm in, zoals een domein, IP, e-mailadres of naam, en SpiderFoot genereert een volledig rapport van alle gevonden relaties en risico’s.

Typische toepassingen voor pentesters

SpiderFoot HX wordt vaak ingezet in de verkenningsfase van een pentest, met als doel om snel een breed overzicht te krijgen van:

• Externe attack surface
• Subdomeinen, exposed IP’s en oude infrastructuur
• Persoonsgegevens gekoppeld aan e-mails of gebruikersnamen
• Credential leaks gekoppeld aan domeinen
• Organisatorische structuren op basis van metadata en social links

De tool geeft je als pentester de kans om dieper te graven dan de meeste manuele OSINT-methodes, zonder dat je daar veel scripting of plugins voor nodig hebt.

Voorbeeldscenario: automatische asset mapping

Een pentester kreeg als opdracht: “breng in kaart welke externe systemen we hebben.” Met SpiderFoot werd een scan gedaan op het hoofddomein bedrijfxyz.nl. Binnen 10 minuten identificeerde het platform:

• 58 subdomeinen (waarvan 12 niet in DNS zichtbaar waren)
• 3 gelekte credentials in bekende breaches
• 2 e-mailadressen van ex-medewerkers
• 4 systemen met kwetsbare services (gevonden via Shodan-integratie)
• Eén AWS S3-bucket met publieke toegang

De output was direct bruikbaar voor verdere analyse, zonder handmatige zoekacties of scripting.

Voordelen van SpiderFoot voor pentesting

• Automatisering van OSINT-processen
• Breed scala aan databronnen in één scan
• Volledig browser-based (via HX platform) of zelf gehost
• Resultaten visueel gepresenteerd met relatiegrafen
• Mogelijkheid tot volledig passieve scans

De tool ondersteunt zowel actieve als passieve reconnaissance, afhankelijk van je aanpak. Voor stealth-operaties kun je modules uitschakelen die verkeer naar het doelwit genereren.

Integratiemogelijkheden

SpiderFoot kan gebruikt worden met:

• Command line (voor scripting en automatisering)
• Webinterface (HX) met dashboards en grafieken
• Integratie met Maltego voor visualisatie
• API voor export en verdere verwerking van data

De kracht ligt in de snelheid waarmee je van één datapunt (zoals een e-mailadres of domein) naar tientallen andere gerelateerde assets springt.

Tips voor gebruik in pentests

• Scan eerst passief om detectie te voorkomen
• Combineer met Shodan- en HaveIBeenPwned-modules voor diepgang
• Gebruik ‘Use Case Templates’ zoals ‘Footprinting’, ‘Leak Discovery’ of ‘External Threat Mapping’
• Exporteer naar CSV of JSON voor rapportages of verdere analyse
• Check op tijd gefilterde resultaten — SpiderFoot toont ook indirecte associaties

Waarom SpiderFoot in je toolkit thuishoort

• Automatiseert vervelend OSINT-handwerk
• Geschikt voor startende én gevorderde pentesters
• Toont direct verbanden tussen assets, personen en netwerken
• Passieve en actieve scanopties geven flexibiliteit
• API en CLI maken integratie eenvoudig in workflows

SpiderFoot HX is geen vervanger van handmatige analyse, maar een enorme versneller. Het is als een OSINT-turbomachine: één input, honderden resultaten. Voor pentesters die snel en slim willen werken, hoort deze tool standaard in de toolkit.

29. Maltego Transform Hub (Relationele OSINT)

Maltego Transform Hub OSINT analysis is een krachtige visualisatietool waarmee pentesters complexe netwerken van relaties kunnen blootleggen. Waar veel zoekmachines werken met lijsten en tabellen, toont Maltego data als verbonden entiteiten — personen, domeinen, IP’s, e-mailadressen, infrastructuur en nog veel meer.

De kracht van Maltego zit in de Transform Hub: een bibliotheek van dataconnectors waarmee je met één klik informatie ophaalt uit tientallen bronnen zoals Shodan, HaveIBeenPwned, Hunter.io, VirusTotal, GreyNoise, en vele andere. Hierdoor is Maltego vooral geschikt voor diepgaande OSINT-analyses, persoonsgerichte aanvallen of Red Team-operaties waarbij inzicht in de samenhang tussen data cruciaal is.

Wat Maltego anders maakt dan andere tools

• Visualisatie van verbanden tussen entiteiten, automatisch gegenereerd
• Real-time pivoting op datapunten zoals IP’s, domeinen of personen
• Modulaire opbouw met meer dan 60 geïntegreerde dataservices
• Geschikt voor cross-analyse van technische, menselijke en contextuele data
• Gebruik van publieke én commerciële bronnen via API-integraties

Voorbeelden van transforms

In de Transform Hub kunnen pentesters modules activeren voor onder andere:

• Shodan (infrastructurele data)
• Hunter.io (e-mailstructuur en domeingebonden e-mails)
• WHOISXML (registratiegegevens)
• VirusTotal (malware en URL reputatie)
• GreyNoise (IP-beweging en scannerdetectie)
• HaveIBeenPwned (leaked credentials)
• DNSDB, Censys, crt.sh, ThreatMiner en meer

Elke transform levert directe data die als knooppunt aan de grafiek wordt toegevoegd.

Typische pentestscenario’s met Maltego

• Targeted reconnaissance op basis van een naam of e-mailadres
• Mapping van externe infrastructuur via DNS, subdomeinen, IP’s en certificaten
• Opsporing van relaties tussen verschillende organisaties via gedeelde IP-blokken of infrastructuur
• Samenstellen van context voor spear phishing of social engineering
• Koppeling van leaks aan specifieke medewerkers of interne systemen

Praktisch voorbeeld: persoonsgerichte OSINT

Een pentester voert een scan uit op het e-mailadres j.delaat@bedrijfx.nl. Maltego toont binnen seconden:

• Gekoppelde domeinen
• Bijbehorende WHOIS-gegevens
• Een LinkedIn-profiel met functietitel en vestigingsplaats
• Github-projecten die een API-key bevatten
• Een subdomein dat alleen vanuit DNS terug te vinden is
• VirusTotal-hits op bijlagen die door dit e-mailadres zijn verzonden

De grafiek toont niet alleen de losse gegevens, maar ook hoe ze met elkaar verbonden zijn. Dit maakt het mogelijk om aanvalsvectoren in kaart te brengen die met traditionele tools over het hoofd worden gezien.

Voordelen van Maltego voor pentesters

• Diepgang in relationele analyse, vooral bij menselijke doelen
• Geen scripting nodig, maar wel krachtige automatisering
• Geschikt voor multi-source OSINT in één interface
• Ondersteunt export naar rapportageformaten
• Beschikbaar als desktopapplicatie, ook zonder actieve scanactiviteit

Tips voor effectief gebruik

• Werk van breed naar smal: begin met algemene entiteiten (zoals domein of organisatie) en zoom in
• Combineer technische en sociale data voor effectievere aanvalsscenario’s
• Gebruik de filters en visualisatieopties om grote grafieken beheersbaar te houden
• Sla tussenstappen op om je OSINT flow later opnieuw te kunnen gebruiken of rapporteren
• Activeer alleen relevante transforms om overbelasting of onnodige ruis te voorkomen

Waarom Maltego onmisbaar is in je toolkit

• Ideaal voor Red Teaming en social engineering
• Visualiseert verbanden die andere tools verbergen
• Schaalbaar van kleine OSINT-onderzoeken tot complexe bedrijfsanalyses
• Transformeerbare data, direct bruikbaar in rapportages
• Sterk in combinatie met andere tools zoals Shodan, GreyNoise, crt.sh en Hunter.io

Maltego laat zien dat hacking niet altijd over techniek gaat — soms is het de combinatie van mensen, metadata en infrastructuur die de deur opent. Wie dat wil doorgronden, heeft met Maltego een krachtig wapen in handen.

30. FOCA (Metadata & Document Reconnaissance)

FOCA metadata reconnaissance is een populaire OSINT-tool die zich richt op het analyseren van metadata in documenten die door organisaties online worden gepubliceerd. Denk aan PDF’s, Word-bestanden, Excel-sheets en PowerPoints — vaak onschuldig ogend, maar in werkelijkheid goudmijnen voor pentesters.

FOCA (Fingerprinting Organizations with Collected Archives) is vooral geliefd bij pentesters die zich richten op social engineering, interne netwerkinformatie, of het verkrijgen van contextuele data over een doelwitorganisatie, zonder dat er enige directe interactie met systemen nodig is.

Wat FOCA doet

FOCA downloadt en analyseert bestanden die via zoekmachines (zoals Google of Bing) gevonden kunnen worden op domeinen van het doelwit. De tool haalt vervolgens de metadata uit deze documenten, waaronder:

• Gebruikersnamen van medewerkers
• Gebruikte softwareversies en systeemnamen
• Netwerkpaden en printers
• Interne servernamen (zoals filesrv01.intern.local)
• Tijdstempels, auteurs, titels en revisies

Deze informatie geeft inzicht in:

• Interne structuur
• Gebruikte technologieën
• Mogelijke kwetsbaarheden
• Persoonsinformatie bruikbaar voor phishing of impersonatie

Typische toepassingen voor pentesters

FOCA is vooral effectief in:

• Voorbereiding van social engineering-aanvallen
  Achterhaal wie welke documenten aanmaakt en gebruik echte namen of afdelingen in pretexts.
• Identificeren van interne systemen
  Ontdek domeinnamen, shares of servernamen zoals \\finance-fs01\, die later bruikbaar zijn in phishing of bij fysieke toegang.
• Versies van software vinden
  Zie dat documenten zijn gemaakt met bijv. “Word 2007” op “Windows 7” — mogelijk kwetsbaar.
• Opbouw van interne netwerkkaart
  Metadata bevat vaak verwijzingen naar interne netwerken die normaal onzichtbaar zijn voor externe scanners.

Voorbeeld uit de praktijk

Een pentester onderzocht de website van een grote gemeente. Via FOCA werden meer dan 200 documenten gevonden (zoals beleidsstukken en PDF-formulieren). De metadata onthulde:

• 17 unieke gebruikersnamen van ambtenaren
• Een netwerkprinter met naam GEMEENTE-MFP-01
• Referentie naar \\gemeente-intra\projecten\WMO\
• Dat een deel van de documenten met verouderde software was gemaakt (Office 2010)

Met deze info kon het Red Team zeer gerichte phishingmails sturen die verwezen naar projecten die écht bestonden — de klikratio was 70%.

Voordelen van FOCA

• Volledig passieve informatieverzameling
• Zoekt via zoekmachines (Google, Bing, DuckDuckGo)
• Snelle analyse van honderden documenten tegelijk
• Geeft diep inzicht in interne netwerkinrichting en gebruikers
• Exportmogelijkheden voor rapportage en cross-verwijzingen

De tool is ideaal voor gebruik aan het begin van een pentest, zeker wanneer je geen actieve scans mag uitvoeren, of wanneer context nodig is voor Red Teaming of phishingcampagnes.

Integratie en aanvullingen

• Combineer met Google Dorks om zelf documenten te vinden (site:bedrijf.nl filetype:pdf)
• Gebruik samen met Maltego voor het koppelen van gebruikers aan online profielen
• Combineer metadata met Hunter.io om te achterhalen welke e-mailstructuren in gebruik zijn
• Cross-check interne netwerknamen met externe resolvability via DNS-tools

Waarom FOCA in je toolkit hoort

• Unieke focus op document metadata, iets wat andere tools nauwelijks bieden
• Zeer nuttig voor social engineering en interne netwerkanalyse
• Gratis beschikbaar, veel gebruikt in Red Teaming
• Perfect voor stealth reconnaissance in gevoelige omgevingen

FOCA laat zien dat informatielekkage niet alleen via systemen loopt, maar ook via Word- en PDF-bestanden. Wie die data weet te lezen, hoeft vaak niet eens een scan uit te voeren om zijn weg naar binnen te vinden.

Hoe kies je de juiste search engine als pentester?

Beste search engine voor pentesters is geen absolute keuze, maar hangt af van je doel, doelgroep, en de fase waarin je je bevindt tijdens een pentest. Er zijn tientallen krachtige tools beschikbaar — van subdomain hunters tot threat intelligence-platformen. De kunst zit in het combineren, filteren en strategisch inzetten van de juiste zoekmachine, op het juiste moment.

Een effectieve pentester weet niet alleen wat een tool doet, maar ook wanneer je welke tool inzet voor maximaal resultaat.

Verschillen per categorie

Een overzicht van de hoofdcategorieën:

1. Server Search Tools

Tools zoals Shodan, Censys, Onyphe en Iv.re scannen het hele internet op open poorten, services en kwetsbare apparaten.

Gebruik bij:

• Het in kaart brengen van extern blootgestelde systemen
• Detecteren van verouderde services of softwareversies
• Valideren van cloudexposure

Topkeuzes:

• Shodan: snel, uitgebreid, veel filters
• Censys: sterk in certificaten en internet-wide scanning
• Onyphe: API-vriendelijk en goede integratie met threat feeds

2. OSINT & Email Reconnaissance

Tools als Hunter.io, IntelX en SecurityTrails brengen personen en infrastructuur samen.

Gebruik bij:

• Voorbereiding van phishing of social engineering
• Domeinanalyse en shadow IT-detectie
• Subdomeinen vinden via transparantie en e-mailstructuren

Topkeuzes:

• Hunter.io: direct inzicht in zakelijke e-mails
• IntelX: zoekt ook in dark web en pastebins
• SecurityTrails: uitstekend voor historische DNS-data en assetmapping

3. Threat Intelligence Platforms

Hier draait het om gedrag van scanners, bots, malware-IP’s en indicatoren van compromis.

Gebruik bij:

• Detecteren of doelwit al onder vuur ligt
• Beoordelen van risico’s per IP of domein
• Valideren van pentestresultaten tegen live threat feeds

Topkeuzes:

• GreyNoise: laat zien wie er aan het scannen is
• BinaryEdge (App): threat intel gecombineerd met scanresultaten
• Socradar / Pulsedive: IOC’s en cybercrime-monitoring

4. Code Search Engines

Tools als Grep.app, Searchcode en PublicWWW scannen miljoenen repositories en websites op gevoelige informatie.

Gebruik bij:

• Vinden van API keys, credentials of private data in openbare code
• Analyseren van veelgebruikte libraries of scripts
• Detectie van codelekkages of verkeerde configuraties

Topkeuzes:

• Grep.app: regex search in open source code
• Searchcode: meer gefocust op specifieke talen of repo’s
• PublicWWW: combineert code en marketingdata (zoals analytics IDs)

5. Attack Surface Mapping Tools

Hiermee breng je de volledige externe infrastructuur in kaart, vaak op schaal.

Gebruik bij:

• Bug bounty reconnaissance
• Red Team preparation
• Validatie van scope in complexe cloudomgevingen

Topkeuzes:

• FullHunt: gericht op bug bounty en scope mapping
• Netlas.io: zeer breed en geschikt voor asset correlation
• BinaryEdge.io: naast threat intel ook krachtig in attack surface

Wanneer gebruik je welke tool?

Doel van je onderzoek	Beste eerste keuze
Subdomeinen vinden	SecurityTrails, crt.sh, CertSpotter
Kwetsbare servers identificeren	Shodan, Censys, BinaryEdge
Emailadressen verzamelen	Hunter.io, IntelX
Gegevenslekken ontdekken	Leakix, Pulsedive, Vulners
Gedrag van scanners analyseren	GreyNoise, Onyphe
Code analyseren op secrets	Grep.app, Searchcode, PublicWWW
Realtime threat data raadplegen	Socradar, Pulsedive, Fofa
Shadow IT of oude assets detecteren	DNSDumpster, SecurityTrails, Netlas

Toekomst van pentesting search engines

De grenzen tussen OSINT, threat intelligence en asset discovery vervagen. Moderne tools integreren meerdere databronnen, combineren context met snelheid en richten zich op automation via API’s.

Verwacht:

• Meer AI-gedreven correlatie tussen databronnen
• Stealth OSINT-platformen die zelf niet traceerbaar zijn
• Realtime alerts voor nieuwe assets of dreigingen
• Gecombineerde dashboards met scoring, risico en bruikbaarheid

Praktische tips voor beginners

• Begin met passieve tools (DNSDumpster, Hunter.io, crt.sh) om op te warmen zonder detectie
• Gebruik tags en filters slim — veel tools bieden dorking of geavanceerde query’s
• Automatiseer met API’s als je repetitieve taken uitvoert
• Vergelijk resultaten altijd met minstens twee bronnen voor betrouwbaarheid
• Log je queries en findings zodat je OSINT-sessie herhaalbaar en onderbouwd is

De beste search engine voor pentesters is degene die past bij je opdracht, scope en strategie. Combineer bronnen, werk gefaseerd en benut het volledige spectrum: van domeinniveau tot aan dreigingsniveau. Goede hacking begint bij slimme verkenning — en die start altijd met de juiste zoekmachine.

Belangrijkste Inzichten uit de 30 Search Engines voor Pentesters

Een effectieve pentester combineert snelheid, precisie en informatie. Deze inzichten geven richting aan hoe je tooling strategisch inzet tijdens verkenning, analyse en rapportage.

• Elke sterke pentest begint met passieve verkenning
  Zonder direct contact met het doelwit kun je via OSINT-tools al kritieke informatie verzamelen over infrastructuur, gebruikers en kwetsbaarheden. Dit biedt een stealthy voorsprong.
• Koppeling van databronnen levert meer op dan losse feiten
  Het vermogen om data uit meerdere tools te combineren, zoals domeininformatie met certificaatdata of metadata, leidt tot diepere inzichten en betere aanvalskansen.
• De juiste tool kies je op basis van doel en scenario
  Reconnaissance vóór phishing vraagt om andere tools dan netwerkverkenning. Denk vanuit je aanvalspad en pas je tooling daarop aan.
• Alles wat zichtbaar is, kan worden benut in een aanval
  Search engines maken zichtbaar wat vaak buiten scope valt: oude subdomeinen, testservers of vergeten API’s. Wat online staat, ligt binnen bereik van een pentester.
• Shadow IT is geen uitzondering maar een patroon
  Tools als SecurityTrails en Leakix tonen keer op keer dat bedrijven assets online hebben staan zonder dat ze het weten. Juist daar liggen de kansen.
• Metadata verraadt vaak meer dan kwetsbare poorten
  Analyse van documenten, certificaten en profielen levert gevoelige informatie op over systemen, medewerkers en interne processen — zonder één scan.
• Automatisering maakt massale verkenning haalbaar
  Tools zoals SpiderFoot HX en Maltego Transform Hub geven toegang tot honderden datapunten in minuten, en zijn onmisbaar bij bredere engagements of Red Teaming.
• Threat intelligence maakt zichtbaar wie al op je doelwit jaagt
  GreyNoise, Pulsedive en BinaryEdge geven context aan je ontdekking: is dit systeem al onder vuur? Dat maakt het verschil tussen ruis en risico.
• Veel tools zijn ook verdedigend inzetbaar
  Hoewel ontwikkeld voor offensieve doeleinden, kunnen search engines ook gebruikt worden om te zien wat een aanvaller ziet — en daarmee je eigen verdedigingspositie verbeteren.
• Externe attack surfaces zijn dynamisch — monitoring moet dat ook zijn
  De zichtbaarheid van assets verandert constant. Tools die continu scannen en rapporteren zijn niet optioneel maar noodzakelijk voor elke moderne penteststrategie.