Na verdade, em qualquer website existente na internet teoricamente.
Imagine que você tem o site "bancoseguro.com.br" e, durante o processo de coleta de dados do pentest você quer ver todos os subdomínios desse site e tudo mais tipo
- mail.bancoseguro.com.br
- rh.bancoseguro.com.br
Perfeito, quem detém essas informações são os sevidores de DNS, lá eles armazenão todos os subdomínios, aliases (apelidos), etc.
uma primeira abordagem é consultar diretamente os registro como por exemplo com:
host -t ns bancoseguro.com.br
Esse comando irá trazer todos os registro "NS" desse website, que seriam os sevidores dns, então, você pode a partir dele tentar solicitar uma troca de zona (sincronização dos servidores dns da aplicação) e se não estiver bem configurada e você tiver permissão, você verá todos os registros
O que, dependendo do projeto, pode ser extremamente útil (se o escopo permitir), pois você descobrirá todos os possíveis subdomínios e outra informações a mais que você imaginar.