Blackbox vs whitebox testare il tuo sito?

0

Quando si esegue un controllo di sicurezza del proprio sito, uno di questi metodi di test è generalmente considerato migliore? Sprecherò il mio tempo facendo test blackbox quando avrò accesso alle informazioni sul sistema sottostante o ci saranno benefici per Blackbox testare il proprio sito?

    
posta Abe Miessler 31.05.2013 - 22:38
fonte

2 risposte

0

Il testing di Blackbox offre la prospettiva di un aggressore esterno, mentre il test di whitebox offre generalmente la prospettiva di un aggressore interno. Quelle prospettive hanno un grande incrocio ma hanno coperture esclusive. Anche i test di whitebox tendono ad essere più facili da eseguire e suonano più efficaci (non sempre è vero però, a volte whitebox è molto più difficile), i test creati da un utente malintenzionato senza informazioni interne tendono a seguire un percorso logico che i test di whitebox inizialmente scartano, creando una possibilità di superare una vulnerabilità.

La sicurezza è sempre un commercio di costi e benefici. È necessario mettere in equilibrio la possibilità e la quantità di danni di un attacco interno rispetto al costo del test whitebox. Fai anche la stessa cosa per un aggressore esterno e per un test della blackbox. Tenendo presente questa relazione costi / benefici, puoi scegliere uno degli approcci o anche entrambi

    
risposta data 31.05.2013 - 23:02
fonte
0

Dal contesto della tua domanda, presumo che questo sia il tuo sito, ospitato dai tuoi server. Dirigerò la mia risposta basandomi su tale assunto, avvertendo che se la mia ipotesi è sbagliata, per favore fatemelo sapere in modo da poter ampliare la mia risposta di conseguenza.

Come sopra detto @Polaco, non c'è alcun danno nel test per entrambi (se si hanno le risorse per farlo). Per le applicazioni, preferisco concentrarmi sui ruoli, invece della nomenclatura "black-box" vs "white-box". Quindi, e questo è particolarmente vero per le applicazioni Web, avrò un ruolo utente anonimo, un ruolo utente autenticato e un ruolo di amministratore. Questi ruoli non sono assoluti e possono essere ampliati o abbreviati in base alla complessità della tua applicazione. Test di più ruoli può aiutarti a determinare il rischio a diversi livelli.

Non penso che tu abbia mai "sprecato" il tempo testando la scatola nera. È solo che la white-box potrebbe essere più utile se il tempo è limitato.

    
risposta data 31.05.2013 - 23:17
fonte

Leggi altre domande sui tag