Een black box-test is een security-test waarbij een ethische hacker van Computest vooraf niets weet van de interne werking van de geteste applicatie. Voor informatie over de functionele of externe werking van de applicatie kan de ethische hacker alleen gebruik maken van publiek beschikbare informatie. Onder de naam black box-test valt een breed scala aan testen. Daarom is de definitie ervan niet altijd eenduidig. Regressietests, integratietests en gebruikersacceptatietesten vallen allemaal in deze test categorie.
Ook wordt een black box-test wel eens verward met een white box-test of grey box-test. Bij een white box-test krijgt een hacker vooraf juist alle informatie bijvoorbeeld over de broncode en de interne structuur. Een grey box-test is een mix van een white box-test en een black box-test. Daarbij krijgt de hacker wel enige informatie, maar niet alles. Hij ontvangt bijvoorbeeld alleen logingegevens voor een bepaalde website of applicatie, maar weet niet wat de broncode is. De precieze definitie van een black-box test is echter niet eenduidig. Soms wordt hieronder verstaan dat ook geen accounts verschaft worden, terwijl anderen het vertrekken van accounts alsnog onder een black-box test scharen.
Hoe werkt een black box-test?
De werking van een black box-test is vergelijkbaar met die van een gewone security test. Dit is het proces in drie stappen:
Stap 1: Intake
Bedrijven komen bij ons met een security vraag. Ze willen bijvoorbeeld een black box-test van een nieuwe website voor een marketingcampagne. Samen met de klant wordt dan een testplan opgesteld. Daarin staat duidelijk wat de randvoorwaarden zijn en wordt de toestemming van de klant en de verdere vrijwaringen met de hosting provider geregeld.
Stap 2: Uitvoering van de black box-test
Vervolgens starten onze ethische hackers met de uitvoering van de black box-test. Meestal vindt deze op afstand plaats. Een enkele keer komen ze ook op kantoor bij de klant.
Stap 3: Bespreking testresultaten
Na afloop van de black box-test stelt Computest een security rapport op. Daarin staan alle kwetsbaarheden die zijn gevonden uitgebreid beschreven. Ook doen we aanbevelingen om deze op te lossen. Het rapport wordt daarna samen met de developers en de IT-manager van de opdrachtgever besproken. De developers kunnen dan aan de slag om de kwetsbaarheden op te lossen. Computest blijft daarbij op de achtergrond beschikbaar voor vragen en advies. Eventueel wordt naar verloop van tijd een hertest uitgevoerd om te kijken of alle kwetsbaarheden zijn opgelost.
Wat zijn de voordelen en nadelen van een black box-test?
Voordelen
Een black box-test heeft twee voordelen:
- Realistisch - Een black box-test is realistisch. Computest heeft evenveel informatie als een echte hacker zou hebben. De resultaten geven een authentiek beeld van wat er zou gebeuren bij een echte aanval.
- Inzetbaar bij gekochte applicaties - Het is een goede oplossing voor bedrijven die een applicatie hebben gekocht waar ze zelf geen eigenaar van zijn. Daardoor kunnen ze de informatie die nodig is voor een white box of een grey box-test niet geven. Een black box-test is dan de beste oplossing.
Nadelen
Dit zijn de twee grootste nadelen van een black box-test:
- Minder kostenefficiënt - Het nadeel van een black box-test is dat het minder kostenefficiënt is. Door details achter te houden moeten we deze details vaak zelf ontdekken, wat vaak ten koste gaat van de beschikbare testtijd.
- Minder gedetailleerde aanbevelingen - Juist omdat onze ethische hackers geen gerichte aanvallen kunnen uitvoeren, zijn de resultaten vaak minder gedetailleerd. Als we vooraf meer informatie hebben, bijvoorbeeld toegang tot een beheeraccount, kunnen we kwetsbaarheden sneller vinden en aanpakken met de klant. Dit levert vaak een beter eindresultaat op waarbij we betere aanbevelingen kunnen doen voor verbetering. Een white box-test of een grey box-test waarbij er meer informatie beschikbaar is, werkt volgens ons dan ook vaak efficiënter.