Een slotenmaker heeft een loper, een spansleutel en een set picks. Een chirurg heeft scalpels, klemmen en retractoren. Een pentester heeft Nmap, Burp Suite en een onverklaarbare hoeveelheid terminals die tegelijkertijd open staan. Het gereedschap definieert het vak niet, maar probeer het maar eens zonder.
Verkenning
Nmap
Als je maar één tool mag meenemen naar een pentest, is het Nmap. Al meer dan 25 jaar de standaard voor netwerk-verkenning en poortscanning. Het vertelt je welke poorten open zijn, welke services erop draaien, en vaak ook welke versies. Het is niet het mes waarmee je inbreekt — het is de zaklamp waarmee je de contouren van het gebouw bekijkt voordat je begint.
Amass / Subfinder
Voor het inventariseren van subdomeinen. Elke organisatie heeft meer subdomeinen dan ze denkt. dev.voorbeeld.nl, staging-api.voorbeeld.nl, jenkins-old.voorbeeld.nl. Elk subdomein is een potentieel aanvalsoppervlak. Deze tools vinden ze allemaal.
Webapplicaties
Burp Suite
De Zwitserse zakmes van webapplicatie-pentesting. Een intercepting proxy die al het HTTP-verkeer tussen je browser en de server vangt, zodat je elke request kunt inspecteren, aanpassen en opnieuw versturen. Wil je dat ene parameter veranderen van user_id=42 naar user_id=43? Burp maakt het makkelijk. Wil je automatisch duizenden variaties proberen? Burp's Intruder doet het voor je.
De gratis Community Edition is functioneel. De betaalde Professional Edition is onmisbaar als je er je brood mee verdient.
OWASP ZAP
Het open-source-alternatief voor Burp Suite. Niet zo gepolijst, maar gratis, actief onderhouden, en meer dan goed genoeg voor veel scenario's. Uitstekend voor geautomatiseerde scans in CI/CD-pipelines.
Active Directory
BloodHound
BloodHound heeft de manier waarop we Active Directory pentesten fundamenteel veranderd. Het verzamelt relaties tussen gebruikers, groepen, computers en rechten, en visualiseert het kortste pad van "waar je bent" naar "domain admin." Het verandert een complexe, handmatige zoektocht in een grafiek die je in één oogopslag begrijpt.
Impacket
Een verzameling Python-scripts voor het werken met Windows-netwerkprotocollen. Secretsdump, psexec, wmiexec — als je in een Windows-omgeving lateraal wilt bewegen, is Impacket je beste vriend.
CrackMapExec / NetExec
Netwerk-brede credentialtesting. Eén set credentials gevonden? CrackMapExec test ze tegen elk systeem in het netwerk. In seconden weet je waar je overal mee kunt inloggen.
Exploitation
Metasploit
Het meest bekende exploitation-framework. Een database van duizenden exploits, payloads en hulpmodules. Het beeld dat Hollywood heeft van hacken — iemand die een commando typt en "in" is — komt het dichtst bij de realiteit als die persoon Metasploit gebruikt.
SQLMap
Geautomatiseerde SQL-injection-detectie en -exploitatie. Geef het een URL met een parameter en het probeert elke bekende SQL-injection-techniek. Het is bijna te makkelijk, wat precies het punt is: als een geautomatiseerde tool het kan, kan een aanvaller het ook.
De belangrijkste tool
Geen van bovenstaande tools maakt je een goede pentester. Ze maken een goede pentester efficiënter. De belangrijkste tool zit tussen je oren: het vermogen om te begrijpen waarom iets werkt, niet alleen dat het werkt. Een tool die een kwetsbaarheid vindt, is nuttig. Een pentester die kan uitleggen wat het betekent voor de organisatie, is onmisbaar.