approach
Testing methods
In the field of offensive security the terms Black-, Grey and White-Box Testing are frequently used. But what do they mean?
Term usage
During a penetration test configuration or assessment, the terms Black-Box, Grey-Box and White-Box are frequently used.
They occur with the following pentests for instance:
Active Directory Assessment
Attacks without credentials (black-box), as a valid domain user (grey-box) or Domain Admin (white-box)
Pentest of Applications
Test without credentials (black-box), as a regular application user (grey-box) or source code assisted (white-box)
Scenario-based tests und assessments
Analysis without prior information or credentials (black-box) or with additional information and valid accounts (grey-box)
Black-Box
Perspective of an external attacker without knowledge about the target. The attacker does not have documentation nor credentials.
Grey-Box
Perspective of an attacker with deeper knowledge of the target, e.g., a valid application user with access to the target.
White-Box
Perspective of a developer or auditor with access to internal documents and the source code of the target.
TESTVERFAHREN
Black-Box
Black-Box
Beim Black-Box-Testverfahren verfügt der Prüfer über keinerlei Informationen über das zu untersuchende System. Dieses Verfahren orientiert sich an der Perspektive eines externen Angreifers, der ausschließlich öffentlich erreichbare Informationen und Schnittstellen nutzen kann.
Das Testverfahren simuliert einen unbekannten Angreifer ohne Insider-Wissen über die IT-Infrastruktur oder Anwendungsumgebung. Weder interne Dokumentationen noch Quellcode, Architekturübersichten oder Zugangsdaten stehen zur Verfügung. Alle Erkenntnisse müssen eigenständig durch Informationsgewinnung, Analyse und Enumeration erarbeitet werden.
Der Pentester besitzt keine Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Informationen müssen eigenständig in Erfahrung gebracht werden.
TESTVERFAHREN
Grey-Box
Grey-Box
Beim Grey-Box-Testverfahren verfügt der Prüfer über begrenzte Informationen über das zu untersuchende System. Dieses Verfahren stellt einen Mittelweg zwischen einem vollständig offenen White-Box-Test und einem rein externen Black-Box-Test dar.
Das Testverfahren simuliert typischerweise einen Angreifer mit teilweisem Insider-Wissen über die IT-Infrastruktur oder Anwendungsumgebung. Einzelne Informationen wie Benutzerkonten, Netzwerksegmente, Architekturübersichten oder ausgewählte technische Dokumentationen werden im Vorfeld bereitgestellt. Der vollständige Zugriff auf Quellcode, interne Prozesse oder sämtliche Systemdetails besteht jedoch nicht
Der Pentester besitzt begrenzte Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Unbekannte Informationen müssen eigenständig enumeriert werden.
TESTVERFAHREN
White-Box
White-Box
Dieses Testverfahren beschreibt in der Regel einen Entwickler oder Auditor mit Zugriff auf alle Informationen des zu überprüfenden Testobjekts.
Das Testverfahren simuliert einen internen Angreifer mit Insider-Wissen über die IT-Infrastruktur und Anwendungsumgebung. Der Zugriff auf interne Dokumentationen oder dem Programmcode von entwickelten Anwendungen selbst ist ohne Probleme möglich. Die zum Einsatz kommenden Betriebssysteme, Programmiersprachen, Nutzerkonten und Co. sind im Vorfeld bekannt oder können vereinfacht erfragt werden.
Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer in einem hellen, weißen Gewand vor. Er wird von allen Personen in seiner Umgebung als “Der Weise” betitelt. Er ist nahezu allwissend.
