Nuevo en PT y me gustaría probar las habilidades de reconocimiento.
Primero, ¿se considera esto como reconocimiento pasivo o activo? Segundo, ¿estaría saltando a un área gris legal si usara una herramienta como esta en el sitio web de un negocio? Me gustaría practicar pero tengo problemas para determinar esto.
En general, todo lo que envía tráfico directamente al sitio de una empresa se considera activo en lugar de pasivo.
Ahora la mayoría de las organizaciones se darán cuenta de que el tráfico a un sitio público está bien y no es un ataque (siempre que no sea lo suficientemente excesivo como para causar una denegación de servicio) pero es un área gris legal como, por ejemplo, una araña. podría afectar a contenido que la empresa considera no público y que podría provocar una respuesta de ellos.
Recomiendo que, mientras practicas, te limites a una de las muchas aplicaciones de prueba que se pueden descargar, por ejemplo, Proyecto de aplicaciones web dañadas de OWASP
Lea otras preguntas en las etiquetas reconnaissance penetration-test