Existem três escopos principais ao testar um aplicativo ou serviço. Sua compreensão do seu alvo determinará o nível de teste que você realizará em seu envolvimento de teste de penetração. Nesta tarefa, abordaremos esses três escopos diferentes de teste.
Teste de caixa preta (black-box)
Este processo de teste é um processo de alto nível em que o testador não recebe nenhuma informação sobre o funcionamento interno do aplicativo ou serviço.
O testador atua como um usuário regular testando a funcionalidade e a interação do aplicativo ou software. Este teste pode envolver a interação com a interface, ou seja, botões, e testes para ver se o resultado pretendido é retornado. Nenhum conhecimento de programação ou compreensão do programa é necessário para este tipo de teste.
Os testes de caixa preta aumentam significativamente a quantidade de tempo gasto durante a fase de coleta e enumeração de informações para compreender a superfície de ataque do alvo.
Teste de caixa cinza (grey-box)
Este processo de teste é o mais popular para coisas como testes de penetração. É uma combinação de processos de teste de caixa preta e caixa branca. O testador terá algum conhecimento limitado dos componentes internos do aplicativo ou software. Ainda assim, ele interagirá com o aplicativo como se fosse um cenário de caixa preta e, em seguida, usará seu conhecimento do aplicativo para tentar resolver os problemas à medida que os encontrar.
Com os testes Grey-Box, o conhecimento limitado fornecido economiza tempo e é frequentemente escolhido para superfícies de ataque extremamente resistentes.
Teste de caixa branca (white-box)
Este processo de teste é um processo de baixo nível geralmente feito por um desenvolvedor de software que conhece programação e lógica de aplicação. O testador testará os componentes internos do aplicativo ou software e, por exemplo, garantirá que funções específicas funcionem corretamente e dentro de um período de tempo razoável.
O testador terá pleno conhecimento do aplicativo e de seu comportamento esperado e consome muito mais tempo do que o teste de caixa preta. O conhecimento completo em um cenário de teste de caixa branca fornece uma abordagem de teste que garante que toda a superfície de ataque possa ser validada.
Nenhum comentário:
Postar um comentário