Dal contesto della tua domanda, presumo che questo sia il tuo sito, ospitato dai tuoi server. Dirigerò la mia risposta basandomi su tale assunto, avvertendo che se la mia ipotesi è sbagliata, per favore fatemelo sapere in modo da poter ampliare la mia risposta di conseguenza.
Come sopra detto @Polaco, non c'è alcun danno nel test per entrambi (se si hanno le risorse per farlo). Per le applicazioni, preferisco concentrarmi sui ruoli, invece della nomenclatura "black-box" vs "white-box". Quindi, e questo è particolarmente vero per le applicazioni Web, avrò un ruolo utente anonimo, un ruolo utente autenticato e un ruolo di amministratore. Questi ruoli non sono assoluti e possono essere ampliati o abbreviati in base alla complessità della tua applicazione. Test di più ruoli può aiutarti a determinare il rischio a diversi livelli.
Non penso che tu abbia mai "sprecato" il tempo testando la scatola nera. È solo che la white-box potrebbe essere più utile se il tempo è limitato.