vorgehensweise
Testverfahren
Im Offensive Security Bereich ist oftmals die Rede von Black-, Grey- und White-Box Testverfahren. Doch was bedeuten diese?
Einsatzgebiet der Begriffe
Bei der Konfiguration, Auswahl oder Durchführung von Penetrationstests werden oftmals die Begriffe Black-Box, Grey-Box und White-Box verwendet.
Diese tauchen beispielsweise bei folgenden Penetrationstests auf:
Active Directory Sicherheitsanalyse
Angriffe ohne Zugangsdaten (black-box), als valider Domänennutzer (grey-box) oder Domain Admin (white-box)
Penetrationstest von Applikationen
Tests ohne Zugangsdaten (black-box), als valider Anwendungsnutzer (grey-box) oder mit Quelltext (white-box)
Szenario-basierte Tests und Überprüfungen
Analysen ohne Vorkenntnisse und Zugangsdaten (black-box) oder mit Informationen + Zugängen (grey-box)
Black-Box
Perspektive eines externen Angreifers ohne Kenntnisse über das Prüfobjekt. Der Angreifer besitzt weder Dokumentationen noch Zugangsdaten.
Grey-Box
Perspektive eines Angreifers mit Kenntnis über das Prüfobjekt, z.B. ein valider Anwendungsnutzer mit Zugangsdaten zum Prüfobjekt.
White-Box
Perspektive eines Entwicklers oder Auditors mit Zugriff auf die interne Dokumentation und dem Source-Code des Prüfobjektes.