Wat is een Grey box pentest?

Pentesten kan aan de hand van drie verschillende methodes: een black box, white box en grey box pentest. Met een grey box pentest wordt op voorhand beperkte informatie aan de pentester gegeven. Hiermee wordt een aanval gesimuleerd waarbij de hacker de eerste beveiliging al gepenetreerd heeft en toegang tot het systeem heeft. Bij een grey box pentest worden verschillende tools en technieken gecombineerd zoals network testing, vulnerability scanning, social engineering en handmatig geschreven codes om te testen.

Wat is het verschil tussen een black-, grey- en whitebox pentest?

Het verschil in de verschillende methodes van pentesten zit in de mate van informatie die vooraf wordt verstrekt. Zo is bij een black box pentest niks bekend bij de ethisch hacker en wordt bij een white box pentest volledige toegang tot alle technische details gegeven. Een grey box valt hier tussenin. De test focust zich op het vinden van kwetsbaarheden binnen de context en opzet van de infrastructuur van het systeem.

Voor- en nadelen van een grey box penetratietest

De voordelen:

• Krachtige combinatie - Een grey box pentest is een sterke combinatie van een white box en een black box. Met de beperkte kennis van het systeem kan het zich richten op kwetsbaarheden die cruciaal zijn. Door de beperkte kennis kan het scenario's opstellen om gevaren te identificeren.
• Snelle uitvoering - Een grey box pentest kan relatief snel worden uitgevoerd. Aan de hand van de scope van de test kan worden bepaald hoelang en wat er precies getest gaat worden. Met juiste priotisering kost een grey box minder tijd vergeleken met een white box of black box pentest.
• Weinig programmeerkennis benodigd - Voor een grey box test weinig programmeerkennis benodigd. Door goede beheersing van (open-source) tools kunnen veel tests worden uitgevoerd. Het belangrijkste is om te weten wat er getest moet worden.

De nadelen:

• Lastig analyseren - Zonder volledige toegang is het lastiger gedecteerde kwetsbaarheden en defecten te linken aan de oorzaak in de broncode. Bij een white box pentest kan dit wel.
• Algoritme testen is niet mogelijk - Algoritmes kunnen met een grey box pentest niet worden getest. Hiervoor is volledige toegang tot de broncode nodig wat alleen bij een white box wordt gegeven.

Veelgebruikte technieken bij grey box pentesten

Om een grey box pentest te kunnen uitvoeren is toegang tot de broncode niet een vereiste. Doorgaans worden de tests uitgevoerd aan de hand van verkregen kennis over de data infrastructuur en 'high-level' code. Bij het testen worden de onderstaande technieken toegepast.

1. Matrix testing - Hierbij worden alle variabelen die het netwerk of de applicatie kent gedefinieerd en getest.
2. Regression testing - Een regressie test heeft als doel om te kijken of nieuwe aanpassingen invloed hebben gehad op de bestaande functionaliteiten. Het wordt ook uitgevoerd om te kijken of het fixen van bugs geen invloed heeft op de rest van het systeem. Deze vorm van testen wordt vaak door automatische tools uitgevoerd.
3. Orthoganal Array test - Deze techniek wordt ook bij de black box toegepast. Software wordt aan de hand van een systematische en statistische benadering getest. Het is vooral effectief in het vinden van errors met een onlogische opbouw van het systeem. Orthogonal array tests kunnen worden toegepast bij user interface-, systeem-, regressie- en configuratietesten.
4. Pattern testing - Met een pattern test worden patterns (patronen) inzichtelijk gemaakt die hebben geleid tot gebreken en kapotte code. Vaak worden details gehighlight die hebben geleid en bijgedragen tot het komen van het defect. Deze informatie kan vervolgens worden toegepast om soortgelijke problemen in nieuwe versies van de applicatie e.d. te voorkomen.