White box pentest

| Leestijd: 3 minuten
Afbeelding daarop met illustratie white box pentest ter opmaak van de pagina

Er zijn drie soorten pentesten, een Black box pentest, een Grey box pentest en een White box pentest. Het verschil tussen de verschillende soorten pentesten leggen we je graag uit op onze pentest pagina. Voor nu gaan we inzoomen op de White box pentest. Wat is het? En wanneer gebruik je deze methodiek pentest?

Wat is een white box pentest?

Een white box pentest ook wel crystal box genoemd is een pentest waarbij de opdrachtgever de ethische hacker veel informatie over de organisatie verschaft voorafgaand aan de test. Bij deze informatie kun je denken aan de source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope.

Door deze informatie vooraf te verschaffen aan de ethische hacker kan er zeer gericht opgezocht worden wat de IT-risico’s zijn van bijvoorbeeld een website, app of webapplicatie.

Omdat er niks verborgen wordt voor de ethische hacker noemen we het een crystal of white box pentest.

Vraag een white box pentest aan

Waarom een white box pentest?

Een white box test wordt meestal uitgevoerd op belangrijke of kritieke onderdelen van het systeem van de opdrachtgever. Door de informatie vooraf aan de tester te verschaffen is het goedkoper en sneller om uit te voeren.

Voorbeeld van een white box pentest?

Hoe belangrijker je software is hoe dieper (grondiger) je pentest moet zijn. Zoals bijvoorbeeld van de ontwikkeling van een app in de zorg sector. Het hoofddoel van de pentest moet dan het vinden van delen in de software zijn die gegevens van patiënten opslaan of verwerken. Dit zijn namelijk cruciale onderdelen van de software en moeten dus vooraf in kaart gebracht worden.

White box pentest illustratie

Wanneer heb jij een deze vorm van pentest nodig?

Het is van belang om voor het uitvoeren van de pentest duidelijk te hebben waarom je voor deze test kiest. Een test wordt vaak uitgevoerd in de eerste fase van ontwikkeling voor de livegang van de software. Hieronder een aantal voorbeelden wanneer jij een pentest nodig hebt.

Voordat je live gaat met je software is het gemakkelijker om aanpassingen te doen dan wanneer de software uit development is. Dus voordat de software live gaat wil je eerst inzicht hebben in de mogelijke risico’s van je harde werk.

Tijdens het bouwen van de software kan je ook al een test uitvoeren. Zo krijg je tijdens het ontwikkelen van de software al aanpassingen doen om de risico’s te beperken.

Let op: wanneer je een pentest wilt uitvoeren is het van belang om vooraf goed met de pentester af te spreken wat de scope is. Wellicht heb je geen pentest nodig maar volstaat een vulnerability scan al. Ook weet de pentester door goede afspraken wat hij moet doen en heb jij sneller inzicht in de risico’s.

Conclusie

De veiligheid van software met kritische gegevens is van groot belang. Met een pentest zet je een goede stap in de richting van veilige software. Onthoud wel dat je bij pentesten, zoals de white box pentest, de tester toegang geeft tot je software. Een daadwerkelijke hacker heeft dit vaak niet. Meer weten over de andere 2 soorten pentesten die er zijn? Lees het op onze pentest pagina.

Vraag een gratis adviesgesprek aan
White box pentest slot op macbook

 
Delen: White box pentest

Door

- Stefan Schepers
Marketing manager
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Veel gestelde vragen

Wat is een pentest?

Een pentest is een toets waarbij een ethische hacker met toestemming van een opdrachtgever op allerlei verschillende manier toegang probeert te krijgen tot de geteste IT-omgeving. Het doel van de pentest is om de zwakke plekken van een website, applicatie of zelfs gehele IT-infrastructuur in kaart te brengen. Door middel van een pentest krijgt u een inzicht van de staat van uw IT-omgeving.

Op welke manieren kunnen pentesten worden uitgevoerd?

Bij Surelock wordt er gebruikt gemaakt van drie soorten pentesten die de technische beveiligingsrisico’s van een IT-infrastructuur, website of (mobiele) app in kaart kunnen brengen. De drie soorten pentesten zijn een black box, een grey box en een white box pentest. In deze FAQ worden er vragen over white box pentesten beantwoord.

Wat is een white box pentest?

Bij een white box pentest wordt er door de opdrachtgever voorafgaand informatie over het bedrijf aan de ethische hacker verstrekt. Met deze informatie kan de ethische hacker op zoek gaan naar kwetsbaarheden in de organisatie. Denk hierbij aan source code, gedefinieerde scope, rollen- of rechten matrix en functionaliteiten lijst.

Wat is het verschil tussen een white box en grey box pentest?

Bij een grey box pentest krijgt de ethische hacker deels informatie over het bedrijf en wordt er deels van binnen,- en buitenaf onderzoek gedaan. Bij een white box pentest krijgt de pentester vooraf al informatie van het bedrijf zodat het gemakkelijk naar zwakheden kan gaan zoeken. In tegenstelling met een white box wordt er vooraf bij een grey test pentest niet alle informatie verschaft.

Een voorbeeld van een white box pentest: een ontwikkeling van een app van een tuincentra. Het hoofddoel van de white box pentest is het achterhalen of de persoonsgegevens van klanten zorgvuldig wordt opgeslagen.

Wat is het verschil tussen een white box en black box pentest?

In tegenstelling tot een black box pentest wordt er bij een white box pentest wel veel informatie over het bedrijf aan de ethische hacker gegeven. Bij een black box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Het doel van een black box pentest is om de zwakheden van de buitenkant in kaart te brengen. De pentest zal niet in de diepte gaan maar meer in de breedte om een algehele samenvatting van de beveiliging te geven.

In welke situatie kun je het beste voor een white box pentest kiezen?

Een white box pentest is handig om uit te voeren als je de structuur of logica van je software wilt testen. White box testen worden meestal uitgevoerd op belangrijke of kritieke onderdelen van het systeem van een klant. Door vooraf informatie aan de ethische hacker te verstrekken is de pentest in kortere tijd uit te voeren tot in vergelijking met een black box pentest en een grey box pentest. Door de tijdbesparing is de white box pentest goedkoper dan een grey en black box pentest.

Wat zijn de voordelen van een white box pentest?

Een white box test wordt meestal uitgevoerd op belangrijke of kritieke onderdelen van het systeem van de opdrachtgever. Door de informatie vooraf aan de tester te verschaffen is het goedkoper en sneller om uit te voeren.

Wat zijn de nadelen van deze vorm?

Er zijn een paar nadelen aan een dit soort pentest, zo wordt de buitenkant van de IT-omgeving; applicatie, netwerk en omgeving niet getest. Dit komt doordat deze interne IT-omgeving test. Omdat de white box pentest alleen de buitenkant test kan het tot in tegenstelling met een grey en black in een kortere tijdsduur worden voltooid. Door deze korte tijdsduur kan het echter niet heel de omgeving scannen en waardoor er mogelijk kwetsbaarheden kunnen worden gemist.

Wat is de totale duur van een Crystal box pentest?

De tijdsduur van een white box pentest hangt af van verschillende variabelen, dit ligt onder anderen aan grootte het project of organisatie. In de praktijk heeft een white box pentest bij Surelock een gemiddelde tijdsduur van 7 dagen.

Waarom voor Surelock kiezen?

Er zijn meerdere redenen waarom u voor Surelock zou moeten kiezen. Door de jaren heen zijn we adviseurs voor onder anderen Beko en Univé geworden. We werken nauw met klanten en er kan snel contact worden opgenomen met onze medewerkers. Ons team bestaat uit personeel met vele jaren ervaring in de cybersecurity. Door deze expertise in te zetten hebben we gelijk inzicht in uw IT-kwetsbaarheden.