Black-, Gray- und White-Box Prüfung
Moritz Kaumanns
16. Sep. 2022
Penetrationstests können verschiedene Ziele haben und mit unterschiedlichen Strategien durchgeführt werden. Sie lassen sich in die folgenden typischen Arten unterteilen, die unterschiedliche Kenntnisse über das zu testende System erfordern.
Black-Box Prüfung
Eine Blackbox-Prüfung ist ein simulierter Test aus der Sicht eines Benutzers oder eines externen Angreifers. Der Tester erhält keine internen Details des Systems, wie z. B. die interne Dokumentation oder den Quellcode. Folglich konzentriert sich der Test zunächst auf die von außen zugänglichen Schnittstellen und öffentlichen Informationen.
Aufgrund der begrenzten Informationen über das System können solche Penetrationstests sehr schnell vorbereitet und gestartet werden. Ein großer Nachteil ist jedoch, dass Schwachstellen, die mit etwas mehr Aufwand (mehr Zeit) gefunden werden könnten, möglicherweise nicht entdeckt werden.
Gray-Box Prüfung
Ein Gray-Box-Audit ist eine Kombination aus einem White-Box- und einem Black-Box-Audit. Der Prüfer erhält begrenzte Informationen über ein Produkt oder eine Infrastruktur. Dazu können Teile der Dokumentation, Teile des Quellcodes oder sogar der Zugang zu bestimmten Bereichen einer Infrastruktur gehören.
Der Vorteil eines Gray-Box-Audits besteht darin, dass das Audit effektiver durchgeführt werden kann, da die internen Informationen über das System im Voraus bekannt sind. Das bedeutet, dass die Vorbereitungen gezielter sein können und versteckte Funktionen oder Endpunkte leicht identifiziert und getestet werden können.
White-Box Prüfung
Ein White-Box-Audit ist das Gegenteil eines Black-Box-Audits. Der Prüfer erhält vollen Zugriff auf den Quellcode, Architekturdiagramme, Datenflussdiagramme und andere Unterlagen. Aufgrund der Menge an Informationen müssen diese effizient ausgewertet und anschließend verwendet werden, um ein effektives Audit zu gewährleisten. Das Testen der einzelnen Komponenten kann dann allerdings intensiver sein, da keine Endpunkte, Funktionen oder Werte erraten werden müssen.
Insgesamt ist der White-Box-Ansatz immer zu empfehlen, da ausgewählte Teile des Prüfobjekts schnell analysiert und getestet werden können. Darüber hinaus können auch interne Komponenten getestet werden, die für die Sicherheit des Gesamtsystems kritisch sein können.