vorgehensweise

Testverfahren

Im Offensive Security Bereich ist oftmals die Rede von Black-, Grey- und White-Box Testverfahren. Doch was bedeuten diese?

Einsatzgebiet der Begriffe

Bei der Konfiguration, Auswahl oder Durchführung von Penetrationstests werden oftmals die Begriffe Black-Box, Grey-Box und White-Box verwendet.
Diese tauchen beispielsweise bei folgenden Penetrationstests auf:

Active Directory Sicherheitsanalyse

Angriffe ohne Zugangsdaten (black-box), als valider Domänennutzer (grey-box) oder Domain Admin (white-box)

Penetrationstest von Applikationen

Tests ohne Zugangsdaten (black-box), als valider Anwendungsnutzer (grey-box) oder mit Quelltext (white-box)

Szenario-basierte Tests und Überprüfungen

Analysen ohne Vorkenntnisse und Zugangsdaten (black-box) oder mit Informationen + Zugängen (grey-box)

Black-Box

Perspektive eines externen Angreifers ohne Kenntnisse über das Prüfobjekt. Der Angreifer besitzt weder Dokumentationen noch Zugangsdaten.

Grey-Box

Perspektive eines Angreifers mit Kenntnis über das Prüfobjekt, z.B. ein valider Anwendungsnutzer mit Zugangsdaten zum Prüfobjekt.

White-Box

Perspektive eines Entwicklers oder Auditors mit Zugriff auf die interne Dokumentation und dem Source-Code des Prüfobjektes.

Edit Content
Edit Content
Edit Content

TESTVERFAHREN

White-Box

Dieses Testverfahren beschreibt in der Regel einen Entwickler oder Auditor mit Zugriff auf alle Informationen des zu überprüfenden Testobjekts.

Das Testverfahren simuliert einen internen Angreifer mit Insider-Wissen über die IT-Infrastruktur und Anwendungsumgebung. Der Zugriff auf interne Dokumentationen oder dem Programmcode von entwickelten Anwendungen selbst ist ohne Probleme möglich. Die zum Einsatz kommenden Betriebssysteme, Programmiersprachen, Nutzerkonten und Co. sind im Vorfeld bekannt oder können vereinfacht erfragt werden.

Zum besseren Verständnis des Begriffes kann erneut eine Analogie zur Farbenwelt herangezogen werden. Stellen Sie sich einen Angreifer in einem hellen, weißen Gewand vor. Er wird von allen Personen in seiner Umgebung als “Der Weise” betitelt. Er ist nahezu allwissend.

Unrecognizable businesswoman using tablet with online shop homepage on screen at office, collage

Der Pentester besitzt alle notwendigen Informationen über die Anwendung oder IT-Infrastruktur im Vorfeld seiner Tests. Unbekannte Informationen können vereinfacht erfragt werden oder stehen in einer internen Dokumentation. Teile oder der vollständige Quelltext von Anwendungen werden bereitgestellt.

ZUM KONFIGURATOR