Black Box (Caixa Preta)
É o tipo de PenTeste¹ não tem qualquer informação prévia da #Infraestrutura / sistemas em qual está realizando os testes. É um tipo de teste que simula a ação de um hacker mal intencionado faria ao tentar invadir o ambiente corporativo de uma empresa.
Já que desconhece informações detalhadas sobre a infraestrutura técnica do ambiente em que está submetendo os testes de penetração, é necessário que o pentester² / hacker pesquise previamente informações sobre a empresa: nome de funções, pessoas, endereços de e-mail, serviços prestados, ferramentas utilizadas, etc. Estas informações irão definir os parâmetros adequados para o teste de invasão.
¹ Teste de Penetração (ou teste de intrusão)
² Alcunha que deriva da expressão PenTeste, comumente atribuída ao profissional responsável pelas atividades de #Ethical Hacking.
White Box (Caixa Branca)
É exatamente o oposto do item descrito anteriormente (caixa preta): o profissional responsável pelo teste de penetração, tem todo o conhecimento prévio da infraestrutura corporativa: mapeamento de rede, roteadores, IPs, firewalls, etc. Ele não precisará realizar, portanto, pesquisas para descobrir tais informações. É um tipo de teste que simula a ação de um hacker mal intencionado faria ao tentar invadir o ambiente corporativo de sua própria empresa, ou simplesmente alguém que, apesar de não pertencer ao quadro de funcionários, por algum motivo teve acesso a tais informações.
Resumo: White-Box e Black-Box
O que simula | Há Informações prévias? | Precisa pesquisar informações prévias? | |
White Box | Um hacker externo | Não | Sim |
Black Box | Um hacker interno | Sim | Não |