vorgehensweise
Testverfahren
Im Offensive Security Bereich ist oftmals die Rede von Black-, Grey- und White-Box Testverfahren. Doch was bedeuten diese?
Einsatzgebiet der Begriffe
Bei der Konfiguration, Auswahl oder Durchführung von Penetrationstests werden oftmals die Begriffe Black-Box, Grey-Box und White-Box verwendet.
Diese tauchen beispielsweise bei folgenden Penetrationstests auf:
Active Directory Sicherheitsanalyse
Angriffe ohne Zugangsdaten (black-box), als valider Domänennutzer (grey-box) oder Domain Admin (white-box)
Penetrationstest von Applikationen
Tests ohne Zugangsdaten (black-box), als valider Anwendungsnutzer (grey-box) oder mit Quelltext (white-box)
Szenario-basierte Tests und Überprüfungen
Analysen ohne Vorkenntnisse und Zugangsdaten (black-box) oder mit Informationen + Zugängen (grey-box)
Black-Box
Perspektive eines externen Angreifers ohne Kenntnisse über das Prüfobjekt. Der Angreifer besitzt weder Dokumentationen noch Zugangsdaten.
Grey-Box
Perspektive eines Angreifers mit Kenntnis über das Prüfobjekt, z.B. ein valider Anwendungsnutzer mit Zugangsdaten zum Prüfobjekt.
White-Box
Perspektive eines Entwicklers oder Auditors mit Zugriff auf die interne Dokumentation und dem Source-Code des Prüfobjektes.
TESTVERFAHREN
Black-Box
Black-Box
Beim Black-Box-Testverfahren verfügt der Prüfer über keinerlei Informationen über das zu untersuchende System. Dieses Verfahren orientiert sich an der Perspektive eines externen Angreifers, der ausschließlich öffentlich erreichbare Informationen und Schnittstellen nutzen kann.
Das Testverfahren simuliert einen unbekannten Angreifer ohne Insider-Wissen über die IT-Infrastruktur oder Anwendungsumgebung. Weder interne Dokumentationen noch Quellcode, Architekturübersichten oder Zugangsdaten stehen zur Verfügung. Alle Erkenntnisse müssen eigenständig durch Informationsgewinnung, Analyse und Enumeration erarbeitet werden.
Der Pentester besitzt keine Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Informationen müssen eigenständig in Erfahrung gebracht werden.
TESTVERFAHREN
Grey-Box
Grey-Box
Beim Grey-Box-Testverfahren verfügt der Prüfer über begrenzte Informationen über das zu untersuchende System. Dieses Verfahren stellt einen Mittelweg zwischen einem vollständig offenen White-Box-Test und einem rein externen Black-Box-Test dar.
Das Testverfahren simuliert typischerweise einen Angreifer mit teilweisem Insider-Wissen über die IT-Infrastruktur oder Anwendungsumgebung. Einzelne Informationen wie Benutzerkonten, Netzwerksegmente, Architekturübersichten oder ausgewählte technische Dokumentationen werden im Vorfeld bereitgestellt. Der vollständige Zugriff auf Quellcode, interne Prozesse oder sämtliche Systemdetails besteht jedoch nicht
Der Pentester besitzt begrenzte Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Unbekannte Informationen müssen eigenständig enumeriert werden.
TESTVERFAHREN
White-Box
White-Box
Dieses Testverfahren beschreibt in der Regel einen Entwickler oder Auditor mit Zugriff auf alle Informationen des zu überprüfenden Testobjekts.
Das Testverfahren simuliert einen internen Angreifer mit Insider-Wissen über die IT-Infrastruktur und Anwendungsumgebung. Der Zugriff auf interne Dokumentationen oder dem Programmcode von entwickelten Anwendungen selbst ist ohne Probleme möglich. Die zum Einsatz kommenden Betriebssysteme, Programmiersprachen, Nutzerkonten und Co. sind im Vorfeld bekannt oder können vereinfacht erfragt werden.
Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer in einem hellen, weißen Gewand vor. Er wird von allen Personen in seiner Umgebung als “Der Weise” betitelt. Er ist nahezu allwissend.
