Nero / Grigio / Scatole di cristallo

Scatole nere / grigie / di cristallo

L'efficienza e l'esito dei test sono fortemente influenzati dalle informazioni che i tester hanno a disposizione in anticipo. In genere facciamo una distinzione tra tre tipi di pentesting: black, gray e crystal (noto anche come white) box testing.

Test a scatola nera

Con un test black box non conosciamo nulla in anticipo, tranne gli indirizzi di destinazione. Il test black box fornisce una risposta alla domanda: "Cosa potrebbe fare un aggressore medio con tempo e risorse limitate?".

I test black box in genere scoprono i 'frutti a portata di mano', ma mancano della profondità necessaria per rispondere a domande come "quanto sono davvero protetti i miei dati?". Nei test black box, viene effettuata una valutazione delle vulnerabilità, identificando i punti di ingresso per un aggressore. L'ulteriore penetrazione dei livelli più profondi viene poi eseguita sfruttando le vulnerabilità concrete. Poiché non abbiamo a disposizione credenziali (nomi utente e password), la maggior parte dei problemi di logica aziendale e i fallimenti del modello di autorizzazione non saranno identificati. Tuttavia, con i test black box si avrà una visione eccellente di tutte le superfici di attacco che un aggressore potrebbe sfruttare.

Test della scatola grigia

La scatola grigia è una forma intermedia, in cui abbiamo le credenziali per accedere, spesso per vari ruoli (ad esempio: utente, supervisore, amministratore). Questo è estremamente importante se l'applicazione o il dispositivo in questione contiene dati sensibili, come dati medici, finanziari o altri dati che dovrebbero essere disponibili solo a determinati utenti o ruoli. "Un utente può accedere ai dati di un altro utente?", è una domanda a cui possiamo rispondere adeguatamente solo con un test gray box. Questo tipo di test è il più comune per i nostri clienti. Il test black box di solito è anche una parte del test gray box, in modo da poter distinguere tra le vulnerabilità che sono disponibili per gli aggressori esterni e le vulnerabilità che possono essere sfruttate solo da utenti autenticati.

Test Crystal Box

In un test crystal box, disponiamo del codice sorgente (o delle informazioni di configurazione complete dei componenti dell'infrastruttura) mentre eseguiamo il test gray box. Questo test è noto anche come test white box. Anche se normalmente non eseguiamo una revisione completa del codice sorgente durante un test di vulnerabilità o di penetrazione, utilizziamo il codice sorgente per identificare le vulnerabilità nelle funzioni di security. In particolare, le vulnerabilità nella convalida degli input, nella gestione crittografica e nei modelli di autorizzazione possono essere trovate in modo molto più efficiente in questo modo. L'accesso al codice sorgente o alle informazioni di configurazione dettagliate durante un test ci permette di rispondere alla domanda: "Quanto sono realmente protetti i miei dati?".

Combinazioni comuni di caselle

Tenga presente, però, che la distinzione tra test black, gray e crystal box non è rigida, è possibile mescolare le forme. Ad esempio, una combinazione comune quando si testa la sicurezza di un'applicazione web è quella di eseguire test black box sull'infrastruttura e test gray box sull'applicazione stessa.

Un altro test di penetrazione black box comune è un pentesting della rete interna (collegarsi e vedere fino a dove si arriva). In questo tipo di test di penetrazione interna non abbiamo alcuna informazione in anticipo e cerchiamo di accedere a tutti i dati sfruttando le vulnerabilità (di solito ottenendo i diritti di amministratore del dominio durante questo processo).