Na verdade, em qualquer website existente na internet teoricamente.

Imagine que você tem o site "bancoseguro.com.br" e, durante o processo de coleta de dados do pentest você quer ver todos os subdomínios desse site e tudo mais tipo

• mail.bancoseguro.com.br
• rh.bancoseguro.com.br

Perfeito, quem detém essas informações são os sevidores de DNS, lá eles armazenão todos os subdomínios, aliases (apelidos), etc.

uma primeira abordagem é consultar diretamente os registro como por exemplo com:

host -t ns bancoseguro.com.br

Esse comando irá trazer todos os registro "NS" desse website, que seriam os sevidores dns, então, você pode a partir dele tentar solicitar uma troca de zona (sincronização dos servidores dns da aplicação) e se não estiver bem configurada e você tiver permissão, você verá todos os registros

O que, dependendo do projeto, pode ser extremamente útil (se o escopo permitir), pois você descobrirá todos os possíveis subdomínios e outra informações a mais que você imaginar.