Panduan Lengkap

Website Reconnaissance

Panduan komprehensif tentang tahap pengintaian (recon) dalam penetration testing β€” teknik, metodologi, tools, dan best practices.

⚠️ Disclaimer Legal

Reconnaissance hanya boleh dilakukan pada target yang Anda miliki izin tertulis (authorized pentest / bug bounty). Melakukan recon tanpa izin termasuk pelanggaran hukum (UU ITE di Indonesia, CFAA di US, dll). Gunakan ilmu ini secara etis dan bertanggung jawab.

🎯 Progress Belajar 0%
0 / 12 sections selesai
01 Apa Itu Reconnaissance? 🕐 5 min

πŸ” Definisi

Reconnaissance (recon) adalah tahap pertama dan paling krusial dalam penetration testing. Tujuannya adalah mengumpulkan sebanyak mungkin informasi tentang target sebelum melakukan eksploitasi. Semakin banyak informasi yang dikumpulkan, semakin besar peluang menemukan kerentanan.

Analogi: Bayangkan Anda seorang arsitek yang diminta mengevaluasi keamanan sebuah gedung. Sebelum masuk, Anda akan mengelilinginya, memperhatikan pintu, jendela, CCTV, pagar, dan pola penjaga. Itulah recon β€” mengamati sebelum bertindak.

πŸ“Š Dua Jenis Utama

AspekPassive ReconActive Recon
Interaksi dengan targetTidak langsungLangsung
Deteksi oleh targetTidak terdeteksiBisa terdeteksi (log, IDS/IPS)
Sumber dataPublik (internet, cache, registry)Target langsung (scanning, crawling)
Risiko legalRendahLebih tinggi (butuh izin)
ContohWHOIS, Google Dorking, ShodanNmap, Nikto, directory bruteforce
1
Passive Recon
β†’
2
OSINT
β†’
3
Active Recon
β†’
4
Enumeration
β†’
5
Mapping
02 Passive Reconnaissance 🕐 15 min

πŸ‘οΈ Konsep

Passive recon adalah pengumpulan informasi tanpa berinteraksi langsung dengan target. Data diambil dari sumber publik yang sudah tersedia di internet. Target tidak tahu bahwa mereka sedang di-recon.

πŸ“‹ Yang Dicari

  • WHOIS Data β€” Pemilik domain, registrar, tanggal registrasi, nameserver, kontak email/telepon
  • DNS Records β€” A, AAAA, MX, TXT, NS, CNAME, SOA β€” mengungkap infrastruktur target
  • SSL/TLS Certificates β€” Common Name, Subject Alternative Names (SANs), issuer, expiry
  • Historical Data β€” Versi lama website via Wayback Machine, perubahan DNS history
  • Cached Content β€” Google Cache, halaman yang sudah dihapus tapi masih ter-index
  • Public Code Repositories β€” GitHub/GitLab milik organisasi target, leaked credentials
  • Job Postings β€” Mengungkap tech stack (misal: "Kami butuh engineer Go + PostgreSQL + AWS")
  • Social Media β€” Informasi karyawan, email pattern, infrastruktur internal yang dibocorkan

πŸ› οΈ Tools Passive Recon

Passive
WHOIS Lookup
Domain Intelligence
Query informasi registrasi domain: pemilik, registrar, nameserver, tanggal expire.
whois target.com
Passive
dig / nslookup
DNS Query
Query DNS records (A, MX, TXT, NS, CNAME) dari nameserver publik.
dig target.com ANY +noall +answer
Passive
Shodan
Internet-wide Scanner
Mesin pencari untuk perangkat yang terhubung ke internet. Menemukan port terbuka, service, banner, tanpa scanning langsung.
shodan search hostname:target.com
Passive
Censys
Internet Intelligence
Mirip Shodan β€” mencari host, certificate, dan service di internet.
https://search.censys.io
Passive
crt.sh
Certificate Transparency
Mencari semua SSL certificate yang pernah diterbitkan untuk sebuah domain. Sangat berguna untuk menemukan subdomain tersembunyi.
curl "https://crt.sh/?q=%25.target.com&output=json"
Passive
Wayback Machine
Historical Archive
Melihat snapshot historis website β€” menemukan halaman yang sudah dihapus, endpoint lama, info sensitif.
https://web.archive.org/web/*/target.com
Passive
theHarvester
Email & Subdomain OSINT
Mengumpulkan email, nama, subdomain, IP dari berbagai sumber publik sekaligus.
theHarvester -d target.com -b all
Passive
SecurityTrails
DNS & Domain History
API & dashboard untuk DNS history, subdomain, associated domains, WHOIS history.
https://securitytrails.com
03 Active Reconnaissance 🕐 15 min

⚑ Konsep

Active recon melibatkan interaksi langsung dengan target β€” mengirim paket, crawling website, scanning port. Ini menghasilkan log di server target dan bisa terdeteksi oleh IDS/IPS/WAF. Selalu lakukan active recon setelah passive recon dan hanya dengan izin tertulis.

πŸ› οΈ Tools Active Recon

Active
Nmap
Port & Service Scanner
Tool scanning paling populer β€” discovery port terbuka, service version, OS detection, script scanning (NSE).
nmap -sC -sV -O -oN scan.txt target.com
Active
Masscan
Fast Port Scanner
Port scanner tercepat di dunia β€” bisa scan seluruh internet dalam <6 menit. Cocok untuk scan massal.
masscan -p1-65535 target.com --rate=1000
Active
Nikto
Web Server Scanner
Scanner web server untuk menemukan file berbahaya, konfigurasi salah, versi outdated, dan 6700+ item lainnya.
nikto -h https://target.com
Active
WhatWeb
Web Fingerprinter
Mendeteksi CMS, framework, web server, JavaScript library, dan teknologi lain yang dipakai website.
whatweb target.com -v
Active
Nuclei
Vulnerability Scanner
Fast template-based scanner dengan ribuan template komunitas untuk detect CVE, misconfig, exposed panels, dll.
nuclei -u https://target.com -t cves/
Active
Burp Suite
Web Proxy & Scanner
Swiss army knife untuk web pentesting β€” intercepting proxy, scanner, repeater, intruder, dan banyak lagi.
GUI Tool β€” Community & Pro edition
04 OSINT (Open Source Intelligence) 🕐 20 min

🌐 Konsep

OSINT adalah pengumpulan dan analisis informasi dari sumber terbuka (publicly available). Dalam konteks web recon, OSINT digunakan untuk menemukan data tentang organisasi, karyawan, infrastruktur, dan teknologi yang digunakan tanpa menyentuh target langsung.

πŸ› οΈ Tools OSINT

OSINT
Maltego
Visual Link Analysis
Platform OSINT visual β€” memetakan hubungan antara domain, IP, email, orang, perusahaan, dan infrastruktur.
GUI Tool β€” Community & Pro edition
OSINT
SpiderFoot
Automated OSINT
Otomatis mengumpulkan OSINT dari 200+ sumber β€” IP, domain, email, nama, phone, leaked data.
spiderfoot -s target.com -t all
OSINT
Recon-ng
Recon Framework
Framework modular untuk recon β€” modul untuk WHOIS, Shodan, VirusTotal, GitHub, dan banyak lagi.
recon-ng β†’ marketplace search β†’ use module
OSINT
OSINT Framework
Tool Directory
Koleksi link ke ratusan tool OSINT gratis yang dikategorikan berdasarkan jenis data.
https://osintframework.com
05 Subdomain Enumeration 🕐 20 min

πŸ—ΊοΈ Mengapa Penting?

Subdomain seringkali menjadi entry point utama karena: subdomain dev/staging sering kurang dilindungi, admin panel tersembunyi di subdomain, service internal (Jenkins, Grafana, phpMyAdmin) sering terekspos via subdomain, dan subdomain lama yang terlupakan mungkin punya vulnerability yang belum di-patch.

πŸ› οΈ Tools Subdomain Enumeration

Semi-Passive
Subfinder
Passive Subdomain Discovery
Menemukan subdomain dari certificate logs, DNS datasets, search engines, dan API pihak ketiga.
subfinder -d target.com -o subs.txt
Semi-Passive
Amass
Attack Surface Mapping
Tool terlengkap untuk subdomain enum β€” menggabungkan passive sources, DNS brute force, dan ASN discovery.
amass enum -d target.com -o amass.txt
Active
gobuster dns
DNS Bruteforce
Brute force subdomain menggunakan wordlist β€” mencoba setiap kata sebagai subdomain.
gobuster dns -d target.com -w wordlist.txt
Active
dnsx
DNS Resolver
Fast DNS resolver β€” memvalidasi subdomain yang ditemukan, resolve ke IP, filter wildcard.
cat subs.txt | dnsx -a -resp
Active
httpx
HTTP Prober
Memprobe subdomain yang live β€” cek status code, title, tech, content-length. Filter subdomain yang aktif.
cat subs.txt | httpx -status-code -title
Passive
Assetfinder
Subdomain Finder
Tool simple dari Tomnomnom β€” cari subdomain dari berbagai passive sources.
assetfinder --subs-only target.com
πŸ’‘ Pro Tip β€” Chaining Tools

Kombinasikan beberapa tool untuk hasil maksimal: subfinder -d target.com -silent | dnsx -silent | httpx -title -status-code -tech-detect β€” ini menemukan subdomain β†’ resolve DNS β†’ cek yang hidup.

06 Port Scanning & Service Enumeration 🕐 20 min

πŸšͺ Konsep

Setiap port terbuka adalah "pintu masuk" potensial. Port scanning mengidentifikasi port apa yang terbuka, service apa yang berjalan, dan versi berapa. Informasi ini digunakan untuk mencari CVE atau misconfiguration pada service tersebut.

πŸ“‹ Port Penting untuk Web Recon

PortServiceCatatan
80HTTPWeb server standar
443HTTPSWeb server + SSL/TLS
8080HTTP AltSering dipakai proxy, dev server, Tomcat
8443HTTPS AltAlternatif HTTPS
3306MySQLJika terbuka ke publik = masalah besar
5432PostgreSQLDatabase terekspos
27017MongoDBSering tanpa auth di default
6379RedisSering tanpa password
22SSHRemote access, cek versi & auth method
21FTPCek anonymous login
9200ElasticsearchSering tanpa auth
8888Jupyter NotebookRCE jika tanpa password

πŸ› οΈ Nmap Cheatsheet

TujuanCommand
Quick scan top 1000 portsnmap target.com
Full port scannmap -p- target.com
Service version detectionnmap -sV target.com
OS detectionnmap -O target.com
Aggressive scan (lengkap)nmap -A target.com
Script scan (vuln check)nmap --script=vuln target.com
UDP scannmap -sU --top-ports 100 target.com
Output semua formatnmap -oA output target.com
07 Technology Fingerprinting 🕐 15 min

🏷️ Apa yang Dicari?

Mengetahui teknologi yang digunakan target membantu menentukan attack vector yang relevan. Informasi yang dicari meliputi:

  • Web Server β€” Apache, Nginx, IIS, Caddy, dan versinya
  • CMS β€” WordPress, Drupal, Joomla, Shopify, dll
  • Framework β€” Laravel, Django, Rails, Express, Spring, dll
  • JavaScript Library β€” React, Vue, Angular, jQuery versi tertentu
  • WAF (Web Application Firewall) β€” Cloudflare, Akamai, AWS WAF
  • CDN β€” Cloudflare, Fastly, AWS CloudFront
  • Bahasa pemrograman β€” PHP, Python, Java, Node.js, Go
  • Database β€” MySQL, PostgreSQL, MongoDB (dari error messages)
  • Hosting/Cloud β€” AWS, GCP, Azure, DigitalOcean

πŸ› οΈ Tools Fingerprinting

Passive
Wappalyzer
Browser Extension
Extension browser yang mendeteksi teknologi website secara real-time β€” CMS, framework, analytics, payment.
Browser extension (Chrome/Firefox)
Passive
BuiltWith
Technology Lookup
Web service yang menampilkan tech stack lengkap sebuah website termasuk history perubahan.
https://builtwith.com/target.com
Active
WhatWeb
CLI Fingerprinter
Tool command-line yang mendeteksi 1800+ web technologies dari response headers, cookies, HTML, dan JS.
whatweb -a 3 target.com
Active
wafw00f
WAF Detector
Mendeteksi apakah website dilindungi oleh WAF dan mengidentifikasi vendor WAF-nya.
wafw00f https://target.com
Active
WPScan
WordPress Scanner
Scanner khusus WordPress β€” theme, plugin, user enumeration, dan known vulnerabilities.
wpscan --url target.com --enumerate ap,at,u
Active
CMSeeK
CMS Scanner
Mendeteksi 170+ CMS dan exploit yang diketahui untuk masing-masing CMS.
cmseek -u target.com
08 Content Discovery 🕐 20 min

πŸ“‚ Konsep

Content discovery (directory/file bruteforcing) bertujuan menemukan halaman, file, direktori, dan endpoint tersembunyi yang tidak di-link di website tapi tetap bisa diakses. Ini sering mengungkap admin panel, backup files, config files, API docs, dan lain-lain.

🎯 Target yang Sering Ditemukan

  • /admin, /wp-admin, /dashboard β€” Admin panel
  • /backup, /db.sql, /backup.zip β€” Database dump & backup
  • /.env, /config.php, /wp-config.php.bak β€” Config file berisi credentials
  • /.git, /.svn β€” Version control terekspos (bisa download source code)
  • /api/docs, /swagger, /graphql β€” API documentation
  • /phpinfo.php, /server-status β€” Server information disclosure
  • /robots.txt, /sitemap.xml β€” Sering mengungkap path sensitif
  • /.well-known/ β€” Security.txt, OpenID config

πŸ› οΈ Tools Content Discovery

Active
ffuf
Fast Web Fuzzer
Fuzzer tercepat β€” directory brute force, parameter fuzzing, vhost discovery. Ditulis dalam Go.
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,301,302,403
Active
gobuster
Directory/File Bruteforcer
Tool Go untuk brute force direktori, file, subdomain, dan vhost.
gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt
Active
feroxbuster
Recursive Content Discovery
Mirip gobuster tapi recursive β€” otomatis scan subdirectory yang ditemukan.
feroxbuster -u https://target.com -w wordlist.txt --depth 3
Active
dirsearch
Directory Scanner
Directory scanner berbasis Python dengan wordlist bawaan yang sudah bagus.
dirsearch -u https://target.com -e php,html,js,txt
Passive
gau (GetAllURLs)
URL Harvester
Mengambil semua URL yang pernah diketahui dari Wayback Machine, Common Crawl, dan VirusTotal.
gau target.com | sort -u
Passive
waybackurls
Wayback URL Extractor
Mengambil URL dari Wayback Machine β€” sering menemukan endpoint lama yang masih aktif.
waybackurls target.com | sort -u
πŸ’‘ Wordlists Rekomendasi

SecLists oleh Daniel Miessler adalah koleksi wordlist terlengkap: /usr/share/seclists/Discovery/Web-Content/. Wordlist populer: raft-medium-directories.txt, common.txt, big.txt. Untuk API: api-endpoints.txt.

09 Parameter & Endpoint Discovery 🕐 15 min

πŸ”— Konsep

Selain menemukan halaman, penting juga menemukan parameter tersembunyi (query string, POST body, headers) dan API endpoints. Parameter tersembunyi sering menjadi celah untuk IDOR, SQLi, XSS, dan mass assignment.

πŸ› οΈ Tools

Active
Arjun
Parameter Discovery
Menemukan hidden HTTP parameters di query string dan POST body.
arjun -u https://target.com/page
Active
ParamSpider
Parameter Mining
Mining parameter dari web archives untuk menemukan semua parameter yang pernah digunakan.
paramspider -d target.com
Active
Katana
Web Crawler
Next-gen crawler dari ProjectDiscovery β€” crawl website dan extract endpoint, form, JS files.
katana -u https://target.com -d 3 -jc
Passive
LinkFinder
JS Endpoint Extractor
Menganalisis file JavaScript untuk menemukan endpoint API dan URL tersembunyi.
linkfinder -i https://target.com/app.js -o results.html
Passive
JSFScan / SecretFinder
JS Secret Scanner
Memindai file JS untuk menemukan API keys, tokens, credentials, dan secrets yang tertanam.
secretfinder -i https://target.com/app.js -o results
Active
Kiterunner
API Endpoint Discovery
Brute force API endpoints dengan metode kontekstual (bukan hanya path, tapi juga HTTP method dan parameter).
kr scan https://target.com -w routes.kite
10 Google Dorking 🕐 20 min

πŸ”Ž Konsep

Google Dorking menggunakan operator pencarian lanjutan Google untuk menemukan informasi sensitif yang tidak sengaja terekspos ke publik. Ini adalah bentuk passive recon yang sangat efektif.

πŸ“‹ Operator & Dork Penting

DorkFungsi
site:target.comSemua halaman yang diindeks Google untuk domain target
site:target.com filetype:pdfMenemukan file PDF (bisa berisi info sensitif)
site:target.com filetype:sqlDatabase dump yang terekspos
site:target.com filetype:envFile environment berisi credentials
site:target.com filetype:logLog file yang mungkin berisi info sensitif
site:target.com inurl:adminHalaman admin
site:target.com inurl:loginHalaman login
site:target.com intitle:"index of"Directory listing terbuka
site:target.com intext:"sql syntax"Halaman dengan SQL error (potensi SQLi)
site:target.com ext:php inurl:configFile konfigurasi PHP
site:target.com "password" filetype:xlsxSpreadsheet berisi password
"target.com" site:github.comMentions di GitHub (API keys, source code)
"target.com" site:pastebin.comLeaked data di Pastebin
site:target.com -wwwMenemukan subdomain (exclude www)
inurl:target.com intext:@gmail.comEmail yang terekspos

πŸ› οΈ Tools Google Dorking

Passive
Google Hacking Database (GHDB)
Dork Collection
Database ribuan Google dorks yang dikategorikan oleh Exploit-DB / Offensive Security.
https://www.exploit-db.com/google-hacking-database
Passive
DorkSearch
Dork Generator
Tool online untuk generate dan menjalankan Google dorks secara cepat.
https://dorksearch.com
11 Email & People Reconnaissance 🕐 15 min

πŸ‘€ Konsep

Mengumpulkan email karyawan dan informasi personal membantu untuk social engineering assessment, password spraying, dan memahami struktur organisasi target.

πŸ› οΈ Tools

OSINT
Hunter.io
Email Finder
Menemukan email karyawan berdasarkan domain. Menunjukkan email pattern ([email protected]).
https://hunter.io/search/target.com
OSINT
Phonebook.cz
Email & Domain Search
Mencari email, domain, dan URL yang terkait dengan sebuah organisasi.
https://phonebook.cz
OSINT
LinkedIn (Manual OSINT)
People Intelligence
Menemukan karyawan, jabatan, skill, dan tech stack yang digunakan dari profil karyawan target.
LinkedIn search: "Company Name"
OSINT
Have I Been Pwned
Breach Database
Mengecek apakah email pernah muncul di data breach β€” berguna untuk memahami exposure.
https://haveibeenpwned.com
OSINT
Dehashed
Breach Search Engine
Search engine untuk data breach β€” cari berdasarkan email, username, IP, domain, nama, dll.
https://dehashed.com
OSINT
CrossLinked
LinkedIn Scraper
Mengekstrak nama karyawan dari LinkedIn dan generate email list berdasarkan email pattern.
crosslinked -f '{first}.{last}@target.com' "Target Company"
12 Complete Recon Workflow & Checklist 🕐 30 min

πŸ—ΊοΈ Full Recon Workflow

1
Scope & Rules
β†’
2
WHOIS & DNS
β†’
3
Subdomain Enum
β†’
4
Port Scan
β†’
5
Tech Stack
6
Content Discovery
β†’
7
Parameter Mining
β†’
8
JS Analysis
β†’
9
Google Dorking
β†’
10
Report

βœ… Master Checklist

  • ☐ Tentukan scope & dapatkan izin tertulis (scope of engagement)
  • ☐ WHOIS lookup β€” pemilik domain, registrar, nameserver
  • ☐ DNS enumeration β€” A, AAAA, MX, TXT, NS, CNAME, SOA records
  • ☐ Reverse DNS lookup & ASN enumeration
  • ☐ SSL/TLS certificate analysis via crt.sh
  • ☐ Subdomain enumeration (subfinder + amass + brute force)
  • ☐ Filter live subdomains (httpx / httprobe)
  • ☐ Screenshot semua subdomain (gowitness / aquatone)
  • ☐ Port scanning (nmap full scan pada target utama)
  • ☐ Service & version detection
  • ☐ Technology fingerprinting (Wappalyzer / WhatWeb)
  • ☐ WAF detection (wafw00f)
  • ☐ CMS scanning (WPScan jika WordPress)
  • ☐ Directory & file bruteforcing (ffuf / gobuster)
  • ☐ Cek robots.txt, sitemap.xml, security.txt
  • ☐ Cek .git, .svn, .env, .DS_Store, backup files
  • ☐ URL harvesting (gau / waybackurls)
  • ☐ JavaScript analysis (LinkFinder / SecretFinder)
  • ☐ Parameter discovery (Arjun / ParamSpider)
  • ☐ API endpoint discovery (Kiterunner)
  • ☐ Google dorking untuk sensitive files & info disclosure
  • ☐ GitHub/GitLab dorking untuk leaked credentials
  • ☐ Email harvesting (Hunter.io / theHarvester)
  • ☐ Breach data check (HIBP / Dehashed)
  • ☐ Shodan / Censys lookup
  • ☐ Wayback Machine analysis untuk endpoint lama
  • ☐ Vulnerability scanning (Nuclei templates)
  • ☐ Dokumentasikan semua temuan dalam report

⚑ Automation β€” One-Liner Combo

Berikut beberapa one-liner chain yang menggabungkan tools untuk efisiensi:

Full subdomain β†’ live β†’ screenshot:
subfinder -d target.com -silent | httpx -silent | gowitness file -f -
Find all URLs β†’ extract parameters β†’ scan XSS:
gau target.com | uro | gf xss | httpx -silent | dalfox pipe
Subdomain β†’ port scan β†’ vuln scan:
subfinder -d target.com | dnsx -silent | naabu -silent | nuclei -t cves/
JS file crawl β†’ extract secrets:
katana -u https://target.com -jc -d 3 | grep "\.js$" | nuclei -t exposures/

🧰 Recon Frameworks (All-in-One)

Reconftw
Automated Recon Pipeline
Script bash yang menjalankan seluruh pipeline recon secara otomatis β€” subdomain, port scan, content discovery, vuln scan, semua dalam satu command.
reconftw -d target.com -r
FinalRecon
All-in-One Recon
Tool Python untuk WHOIS, DNS, header analysis, SSL, crawler, dan Wayback dalam satu tool.
finalrecon --full https://target.com
Raccoon
Offensive Recon
High-performance offensive recon tool β€” DNS, WHOIS, TLS, port scan, directory brute, web app scan.
raccoon target.com
Photon
Fast Crawler & Extractor
Crawler yang mengekstrak URLs, emails, files, secrets, dan subdomains dari target website.
photon -u https://target.com -o output/
πŸ”’ Etika & Legalitas

Selalu pastikan Anda memiliki izin tertulis sebelum melakukan active recon. Untuk latihan, gunakan platform legal seperti HackTheBox, TryHackMe, PortSwigger Web Security Academy, atau program bug bounty resmi (HackerOne, Bugcrowd, Intigriti). Passive recon pada data publik umu