Black / Gray / Crystal Boxes

Black / Gray / Crystal boxes

De informatie die de testers vooraf tot hun beschikking hebben, bepaald voor een groot deel de efficiëntie en het resultaat van het penetratie testen. Over het algemeen wordt er onderscheid gemaakt tussen drie soorten pentesting: black, gray en crystal box (ook wel white box testing genoemd).

Black Box test

Met een black box test weten we niets van tevoren, behalve de doeladressen. Een black box test beantwoord de vraag: "Wat zou een gemiddelde aanvaller met beperkte tijd en middelen kunnen doen?".

Black box testing legt meestal 'laaghangend fruit' bloot, maar mist de diepgang die nodig is voor een antwoord op vragen zoals "hoe goed zijn mijn gegevens eigenlijk beschermd?". Bij black box tests wordt een beoordeling van de kwetsbaarheid uitgevoerd, waarbij de toegangspunten voor een aanvaller worden geïdentificeerd. Verdere penetratie van de diepere lagen wordt dan uitgevoerd door concrete zwakke plekken uit te buiten.

Aangezien wij niet over inloggegevens (gebruikersnamen en wachtwoorden) beschikken, zullen de meeste problemen met bedrijfslogica en het autorisatiemodel niet worden geïdentificeerd. Door black box testing krijg je echter wel een uitstekend beeld van alle aanvalsgebieden die een aanvaller zou kunnen misbruiken.

Gray Box Test

De gray box test is een tussenvorm, waarbij we wel over inloggegevens beschikken, vaak voor verschillende rollen (bv.: gebruiker, supervisor, beheerder). Dit is enorm belangrijk als de applicatie of het apparaat in kwestie gevoelige gegevens bevat, zoals medische, financiële of andere gegevens die alleen beschikbaar mogen zijn voor bepaalde gebruikers of rollen.

"Kan een gebruiker toegang krijgen tot de gegevens van een andere gebruiker?", is een vraag die we alleen kunnen beantwoorden met een gray box test. Dit test type is dan ook het meest populair bij organisaties. Black box testing is meestal ook een onderdeel van gray box testing, zodat u onderscheid kunt maken tussen kwetsbaarheden die beschikbaar zijn voor aanvallers van buitenaf, en kwetsbaarheden die alleen door geauthenticeerde gebruikers kunnen worden uitgebuit.

Crystal Box Test

Bij een crystal box test beschikken we over alle relevantie informatie, zoals interne broncodes en (ontwerp) documentatie (of volledige configuratie-informatie van infrastructuurcomponenten) terwijl we een gray box test uitvoeren. Deze test staat ook bekend als een white box test.

Hoewel we tijdens een kwetsbaarheids- of penetratietest normaal gesproken geen volledige controle van de broncode uitvoeren, gebruiken we de broncode wel om kwetsbaarheden in beveiligingsfuncties op te sporen. Vooral kwetsbaarheden in invoervalidatie, cryptografische afhandeling en autorisatiemodellen kunnen op deze manier veel efficiënter worden gevonden. Als we tijdens een test toegang hebben tot de broncode of gedetailleerde configuratie-informatie, kunnen we de volgende vraag beantwoorden: "Hoe goed zijn mijn gegevens werkelijk beschermd?".

Onthoud wel dat het onderscheid tussen black, gray en crystal box testing niet strikt is, mengvormen zijn mogelijk. Een veel voorkomende combinatie bij het testen van de beveiliging van webapplicaties is bijvoorbeeld het uitvoeren van black box tests op de infrastructuur en gray box tests op de applicatie zelf. Een andere veel voorkomende black box pentest is een pentest van het interne netwerk (plug in en kijk hoe ver je kunt komen). Bij zo'n interne pentest hebben we vooraf geen informatie en proberen we toegang te krijgen tot alle gegevens door kwetsbaarheden uit te buiten (meestal door tijdens dat proces domeinbeheerdersrechten te verkrijgen).