Seiring dengan kemajuan teknologi, begitu pula dengan metode serangan siber. Di sinilah pengujian penetrasi, atau pentesting, berperan penting. Pentesting adalah simulasi serangan siber yang membantu organisasi mengidentifikasi dan memperbaiki kerentanan dalam sistem mereka sebelum dieksploitasi oleh penyerang sungguhan. Salah satu aspek kunci dari pentesting adalah pengintaian, atau proses pengumpulan informasi tentang suatu target. Di sinilah alat bantu mesin pencari untuk pentester sangat berguna. Dalam artikel blog ini, kami akan membahas 24 alat mesin pencari yang dapat berguna bagi para pentester.
1. Shodan.io
Shodan adalah mesin pencari yang memungkinkan pengguna untuk mencari perangkat yang terhubung ke internet, termasuk router, webcam, server, dan perangkat lainnya. Shodan populer di kalangan pentester karena dapat memberikan informasi mendetail tentang jaringan target dan perangkatnya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Shodan telah mengindeks lebih dari 10 miliar perangkat di internet dan sering disebut sebagai “Google untuk para peretas.”
2. Google.com
Google adalah mesin pencari yang dapat digunakan oleh pentester untuk mencari informasi tentang jaringan target, seperti nama domain, alamat IP, dan aplikasi web.
Beberapa fitur utamanya meliputi:
- Operator pencarian lanjutan untuk menyempurnakan hasil pencarian
- Kemampuan untuk mencari jenis file tertentu, seperti PDF atau spreadsheet Excel
- Kemampuan untuk mencari informasi tentang domain atau situs web tertentu, termasuk versi cache dari halaman web dan informasi tentang backlink
- Kemampuan untuk mencari informasi tentang alamat email atau nama pengguna
Fakta menarik: Google memproses lebih dari 3,5 miliar pencarian per hari dan telah mengindeks lebih dari 130 triliun halaman web.
3. Wigle.net
Wigle adalah mesin pencari yang dapat digunakan oleh pentester untuk mencari titik akses nirkabel dan lokasinya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari titik akses nirkabel berdasarkan lokasi atau nama
- Tampilan informasi rinci tentang titik akses nirkabel, termasuk SSID, jenis enkripsi, dan kekuatan sinyal
- Kemampuan untuk mencari titik akses nirkabel berdasarkan alamat MAC atau BSSID-nya
- Tampilan lokasi titik akses nirkabel pada peta
Fakta menarik: Wigle telah mengindeks lebih dari 10 miliar titik akses nirkabel di seluruh dunia.
4. Grep.app
Grep adalah salah satu alat mesin pencari yang dapat digunakan oleh pentester untuk mencari potongan kode dan file di repositori kode publik, seperti GitHub atau GitLab.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari cuplikan kode menggunakan ekspresi reguler atau kata kunci
- Tampilan hasil pencarian dengan cuplikan kode dan jalur file yang disorot
- Kemampuan untuk mencari cuplikan kode dalam repositori atau bahasa tertentu
- Kemampuan untuk mencari jenis file tertentu, seperti file JSON atau YAML
Fakta menarik: Grep.app mencari lebih dari 2,5 miliar baris kode di lebih dari 1 juta repositori.
5. App.binaryedge.io
BinaryEdge adalah alat bantu mesin pencari yang dapat digunakan oleh para pentester untuk mencari perangkat yang terhubung ke internet dan kerentanannya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: BinaryEdge telah mengindeks lebih dari 1 miliar perangkat dan layanan di internet.
6. Onyphe.io
Onyphe adalah salah satu mesin pencari yang dapat digunakan oleh para pentester untuk mencari perangkat yang terhubung ke internet, termasuk router, webcam, server, dan perangkat lainnya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Onyphe telah mengindeks lebih dari 4 miliar perangkat dan layanan di internet.
7. Viz.greynoise.io
Greynoise adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari perangkat yang terhubung ke internet dan kerentanannya.
Beberapa fitur utamanya meliputi:
- Tampilan data intelijen ancaman waktu nyata, termasuk alamat IP, nama host, dan port terbuka
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat, termasuk lokasi dan reputasi
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Greynoise telah mengindeks lebih dari 25 miliar perangkat dan layanan yang terhubung ke internet.
8. Censys.io
Censys adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari perangkat yang terhubung ke internet dan kerentanannya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Censys telah mengindeks lebih dari 33 miliar perangkat dan layanan yang terhubung ke internet.
9. Hunter.io
Hunter adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari alamat email dan nama domain.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari alamat email menggunakan kata kunci dan filter
- Tampilan informasi alamat email, termasuk nama, domain, dan profil media sosial
- Kemampuan untuk mencari nama domain menggunakan kata kunci dan filter
- Tampilan informasi nama domain, termasuk alamat email dan informasi perusahaan
Fakta menarik: Hunter telah mengindeks lebih dari 1,9 miliar alamat email dan 747 juta nama domain.
10. Fofa.info
FOFA (Find Open Files and Assets) adalah mesin pencari yang dapat digunakan oleh pentester untuk mencari perangkat yang terhubung ke internet dan kerentanannya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: FOFA telah mengindeks lebih dari 9 miliar perangkat dan layanan yang terhubung ke internet.
11. Zoomeye.org
Zoomeye adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari perangkat yang terhubung ke internet dan kerentanannya.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat atau layanan tertentu menggunakan kata kunci dan filter
- Tampilan informasi perangkat secara rinci, termasuk alamat IP, nama host, lokasi, sistem operasi, dan port yang terbuka
- Kemampuan untuk mencari perangkat yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
- Kemampuan untuk memantau perangkat untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Zoomeye telah mengindeks lebih dari 900 juta perangkat dan layanan yang terhubung ke internet.
12. Leakix.net
LeakIX adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari kerentanan pada aplikasi dan layanan web.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari aplikasi dan layanan web menggunakan kata kunci dan filter
- Tampilan informasi terperinci tentang aplikasi dan layanan web, termasuk port terbuka, header HTTP, dan sertifikat SSL/TLS
- Kemampuan untuk mencari kerentanan menggunakan kueri penelusuran
- Kemampuan untuk memantau aplikasi dan layanan web untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: LeakIX telah mengindeks lebih dari 7 miliar alamat IP unik.
13. Intelx.io
Intelx adalah alat mesin pencari yang dirancang untuk investigasi OSINT (Open Source Intelligence).
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari berbagai jenis data, termasuk alamat email, nomor telepon, alamat IP, dan domain
- Tampilan informasi rinci tentang hasil pencarian, termasuk profil media sosial, tautan web gelap, dan arsip pastebin
- Integrasi dengan berbagai alat dan platform keamanan, termasuk Shodan, VirusTotal, dan Censys
Fakta menarik: Intelx memiliki lebih dari 19 miliar catatan unik yang diindeks dalam basis datanya.
14. App.netlas.io
Netlas adalah alat mesin pencari yang dirancang untuk pengujian keamanan aplikasi web.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari kerentanan dalam aplikasi web menggunakan kata kunci dan filter
- Tampilan informasi kerentanan terperinci, termasuk versi perangkat lunak yang terpengaruh, skor CVSS, dan vektor serangan potensial
- Integrasi dengan berbagai alat dan platform keamanan, termasuk Burp Suite dan Zap Proxy
Fakta menarik: Netlas adalah platform bertenaga AI yang menggunakan algoritme pembelajaran mesin untuk mengidentifikasi dan memprioritaskan kerentanan aplikasi web.
15. Searchcode.com
Searchcode adalah alat mesin pencari yang dirancang untuk mencari dan menganalisis repositori kode sumber.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari kode sumber menggunakan kata kunci dan filter
- Tampilan informasi rinci tentang hasil pencarian, termasuk nama file, baris kode, dan riwayat komit
- Integrasi dengan berbagai alat dan platform manajemen kode sumber, termasuk GitHub dan Bitbucket
Fakta menarik: Searchcode memiliki lebih dari 10 miliar baris kode yang diindeks dalam basis datanya.
16. Urlscan.io
Urlscan adalah mesin pencari yang dapat digunakan oleh para pentester untuk menganalisis dan memindai situs web dan aplikasi web.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk memindai situs web dan aplikasi web untuk mencari kerentanan, termasuk XSS, SQLi, dan pengalihan terbuka
- Menampilkan informasi rinci tentang komponen situs web dan aplikasi web, termasuk header HTTP, file JavaScript, dan file CSS
- Kemampuan untuk memantau situs web dan aplikasi web untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Urlscan telah menganalisis lebih dari 20 juta URL.
17. Publicwww.com
Publicwww adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari kode dan skrip yang digunakan dalam situs web dan aplikasi web.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari kode dan skrip menggunakan kata kunci dan filter
- Tampilan informasi rinci tentang kode dan skrip, termasuk nama fungsi dan nama variabel
- Kemampuan untuk mencari kode dan skrip yang rentan atau dapat dieksploitasi menggunakan kueri penelusuran
Fakta menarik: Publicwww telah mengindeks lebih dari 700 juta berkas kode dan skrip.
18. Fullhunt.io
Fullhunt adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari data sensitif, termasuk kredensial yang bocor dan informasi pribadi.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari data sensitif menggunakan kata kunci dan filter
- Tampilan informasi terperinci tentang data sensitif, termasuk alamat email, nama pengguna, dan kata sandi
- Kemampuan untuk memantau data sensitif untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Fullhunt telah mengindeks lebih dari 7 miliar catatan.
19. Socradar.io
Socradar adalah mesin pencari yang dapat digunakan oleh para pentester untuk mencari kerentanan pada aplikasi dan layanan web.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari aplikasi dan layanan web menggunakan kata kunci dan filter
- Tampilan informasi terperinci tentang aplikasi dan layanan web, termasuk port terbuka, header HTTP, dan sertifikat SSL/TLS
- Kemampuan untuk mencari kerentanan menggunakan kueri penelusuran
- Kemampuan untuk memantau aplikasi dan layanan web untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Socradar telah mengindeks lebih dari 200 juta aplikasi dan layanan web.
20. Binaryedge.io
Mari kita lihat lebih dekat BinaryEdge, alat mesin pencari yang dirancang untuk penemuan perangkat yang terhubung ke internet dan penilaian kerentanan.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari perangkat yang terhubung ke internet menggunakan kata kunci dan filter
- Tampilan informasi perangkat yang terperinci, termasuk port yang terbuka, perangkat lunak yang terinstal, dan potensi kerentanan
- Integrasi dengan berbagai alat dan platform keamanan, termasuk Nessus, Metasploit, dan Shodan.
Fakta menarik: BinaryEdge telah mengindeks lebih dari 400 juta perangkat yang terhubung ke internet dalam basis datanya.
21. Ivre.rocks
Ivre adalah alat mesin pencari yang dirancang untuk analisis lalu lintas jaringan, termasuk penangkapan paket dan analisis aliran jaringan.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk melakukan penangkapan paket penuh dan analisis aliran jaringan
- Dukungan untuk berbagai protokol, termasuk TCP, UDP, dan ICMP
- Kemampuan untuk memvisualisasikan data lalu lintas jaringan menggunakan grafik dan bagan
Fakta menarik: Ivre merupakan alat sumber terbuka yang awalnya dikembangkan untuk badan pertahanan siber nasional Prancis.
22. Crt.sh
Crt.sh adalah alat mesin pencari yang dirancang untuk log transparansi sertifikat SSL/TLS.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari sertifikat SSL/TLS menggunakan nama domain, nama umum, dan sidik jari sertifikat
- Tampilan informasi sertifikat yang terperinci, termasuk otoritas sertifikat, tanggal penerbitan dan masa berlaku sertifikat, dan status pencabutan sertifikat
- Kemampuan untuk memantau sertifikat SSL/TLS untuk perubahan dan pembaruan dari waktu ke waktu
Fakta menarik: Crt.sh dioperasikan oleh Comodo CA, salah satu otoritas sertifikat SSL/TLS terbesar di dunia.
23. Vulnerables.com
Vulner adalah alat mesin pencari yang dirancang untuk manajemen kerentanan dan intelijen ancaman.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari kerentanan menggunakan kata kunci dan filter
- Tampilan informasi kerentanan terperinci, termasuk versi perangkat lunak yang terpengaruh, skor CVSS, dan vektor serangan potensial
- Integrasi dengan berbagai alat dan platform keamanan, termasuk Nessus, Metasploit, dan Shodan
Fakta menarik: Vulner memiliki lebih dari 16 juta kerentanan yang diindeks di dalam basis datanya.
24. Pulsedive.com
Pulsedive adalah alat mesin pencari yang dirancang untuk intelijen ancaman dan perburuan ancaman.
Beberapa fitur utamanya meliputi:
- Kemampuan untuk mencari ancaman menggunakan kata kunci dan filter
- Tampilan informasi ancaman yang terperinci, termasuk indikator kompromi, keluarga malware, dan pelaku ancaman terkait
- Integrasi dengan berbagai alat dan platform keamanan, termasuk VirusTotal, Shodan, dan MISP
Fakta menarik: Pulsedive memiliki lebih dari 250 juta indikator kompromi yang diindeks dalam basis datanya.
Baca Lebih Lanjut Memperkenalkan 23 Alat Peretasan Aplikasi Web
Kesimpulan
Kesimpulannya, alat bantu mesin pencari sangat penting bagi para pentester untuk mengumpulkan informasi tentang target potensial. Dengan menggunakan alat ini, pentester dapat memperoleh pemahaman yang lebih baik tentang target mereka dan mengidentifikasi potensi kerentanan yang dapat dieksploitasi. Namun, penting untuk menggunakan alat ini secara etis dan bertanggung jawab, serta selalu mengikuti praktik terbaik untuk pengujian keamanan siber.
Selain itu, penting untuk dicatat bahwa alat-alat ini bukanlah pengganti langkah-langkah keamanan tradisional, seperti firewall dan perangkat lunak antivirus. Sebaliknya, mereka adalah tambahan yang berharga untuk strategi keamanan siber yang komprehensif. Seperti biasa, tujuan utamanya adalah untuk meningkatkan postur keamanan secara keseluruhan dan melindungi dari potensi ancaman.