Crystal Box Test
Bij een crystal box test beschikken we over alle relevantie informatie, zoals interne broncodes en (ontwerp) documentatie (of volledige configuratie-informatie van infrastructuurcomponenten) terwijl we een gray box test uitvoeren. Deze test staat ook bekend als een white box test.
Hoewel we tijdens een kwetsbaarheids- of penetratietest normaal gesproken geen volledige controle van de broncode uitvoeren, gebruiken we de broncode wel om kwetsbaarheden in beveiligingsfuncties op te sporen. Vooral kwetsbaarheden in invoervalidatie, cryptografische afhandeling en autorisatiemodellen kunnen op deze manier veel efficiënter worden gevonden. Als we tijdens een test toegang hebben tot de broncode of gedetailleerde configuratie-informatie, kunnen we de volgende vraag beantwoorden: "Hoe goed zijn mijn gegevens werkelijk beschermd?".
Onthoud wel dat het onderscheid tussen black, gray en crystal box testing niet strikt is, mengvormen zijn mogelijk. Een veel voorkomende combinatie bij het testen van de beveiliging van webapplicaties is bijvoorbeeld het uitvoeren van black box tests op de infrastructuur en gray box tests op de applicatie zelf. Een andere veel voorkomende black box pentest is een pentest van het interne netwerk (plug in en kijk hoe ver je kunt komen). Bij zo'n interne pentest hebben we vooraf geen informatie en proberen we toegang te krijgen tot alle gegevens door kwetsbaarheden uit te buiten (meestal door tijdens dat proces domeinbeheerdersrechten te verkrijgen).