approach

Testing methods

In the field of offensive security the terms Black-, Grey and White-Box Testing are frequently used. But what do they mean?

Term usage

During a penetration test configuration or assessment, the terms Black-Box, Grey-Box and White-Box are frequently used.
They occur with the following pentests for instance:

Active Directory Assessment

Attacks without credentials (black-box), as a valid domain user (grey-box) or Domain Admin (white-box)

Pentest of Applications

Test without credentials (black-box), as a regular application user (grey-box) or source code assisted (white-box)

Scenario-based tests und assessments

Analysis without prior information or credentials (black-box) or with additional information and valid accounts (grey-box)

Black-Box

Perspective of an external attacker without knowledge about the target. The attacker does not have documentation nor credentials.

Grey-Box

Perspective of an attacker with deeper knowledge of the target, e.g., a valid application user with access to the target.

White-Box

Perspective of a developer or auditor with access to internal documents and the source code of the target.

Edit Content

TESTVERFAHREN

Black-Box

Dieses Testverfahren beschreibt in der Regel einen externen Angreifer ohne Kenntnisse über die zu überprüfenden Testobjekte oder IT-Infrastrukturkomponenten.

Ein realer Angreifer oder ethischer Pentester muss sich demnach selbstständig um die Informationsgewinnung vor und während seiner Angriffe kümmern. Informationen über eingesetzte Betriebssysteme, Softwareversionen, Programmiersprachen oder vorhandene Nutzerkonten bzw. Rollen in einer Anwendung sind im Vorfeld der Tests unbekannt.

Zum besseren Verständnis des Begriffes kann eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer auf einer dunklen, schwarzen Straße in der Nacht vor. Aufgrund der Dunkelheit ist es nicht möglich, die Umgebung oder ferne Objekte klar zu erkennen. Um sich zurecht zu finden, muss ein Angreifer seine Umgebung vorerst erkunden, die einzelnen Objekte begutachten und Licht ins Dunkel bringen.

mika-baumeister-J5yoGZLdpSI-unsplash

  • Keine validen Zugangsdaten
  • Keine Informationen über das Prüfobjekt
  • Eigene Informationsgewinnung notwendig
  • Angriffsperspektive eines realen Angreifers von außen.
  • Die Testvariante ist das Gegenteil zu White-Box.

Edit Content

TESTVERFAHREN

Grey-Box

Dieses Testverfahren beschreibt in der Regel einen Angreifer, welcher bereits einige Kenntnisse über die zu überprüfenden Testobjekte oder IT-Infrastrukturkomponenten besitzt.

Ein realer Angreifer oder ethischer Pentester besitzt demnach bereits im Vorfeld seiner Tests Informationen über eingesetzte Betriebssysteme, Softwareversionen, Programmiersprachen oder vorhandene Nutzerkonten bzw. Rollen in einer Anwendung. Weiterhin werden valide Zugangsdaten für eine Authentifizierung auf Anwendungsebene vom Kunden bereitgestellt.

Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer auf einer etwas nebligen Straße vor. Der graue Nebel erschwert zwar die Sicht auf die Umgebung, jedoch können alle Objekte und Details ohne Probleme erkannt werden. Da der Angreifer weiterhin schon einmal vor Ort war, kennt er sich etwas in der Umgebung aus.

greybox

  • Gewisse Informationen über das Prüfobjekt und die Infrastruktur im Vorfeld der Tests vorhanden
  • Valide Zugangsdaten zur Anwendung
  • Zugriff auf eine Dokumentation
  • Zugriff auf eine Access-Control-Matrix
  • Verständnis über Funktion und Einsatzgebiet

Edit Content

TESTVERFAHREN

White-Box

Dieses Testverfahren beschreibt in der Regel einen Entwickler oder Auditor mit Zugriff auf alle Informationen des zu überprüfenden Testobjekts.

Das Testverfahren simuliert einen internen Angreifer mit Insider-Wissen über die IT-Infrastruktur und Anwendungsumgebung. Der Zugriff auf interne Dokumentationen oder dem Programmcode von entwickelten Anwendungen selbst ist ohne Probleme möglich. Die zum Einsatz kommenden Betriebssysteme, Programmiersprachen, Nutzerkonten und Co. sind im Vorfeld bekannt oder können vereinfacht erfragt werden.

Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer in einem hellen, weißen Gewand vor. Er wird von allen Personen in seiner Umgebung als “Der Weise” betitelt. Er ist nahezu allwissend.

Unrecognizable businesswoman using tablet with online shop homepage on screen at office, collage

Der Pentester besitzt alle notwendigen Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Unbekannte Informationen können vereinfacht erfragt werden oder stehen in einer internen Dokumentation. Teile oder der vollständige Quelltext von Anwendungen werden bereitgestellt.

OPEN CONFIGURATOR