Informationsbasis

Von welchem Wissensstand über das anzugreifende Netz bzw. Objekt geht der Penetrationstester aus?

Bei einem Blackbox-Test bekommt der Penetrationstester nur minimale Informationen über die zu testenden Systeme, wie z. B. URL oder IP-Adresse. Die weiteren Informationen ermittelt der Tester selbst. Wie auch der typische Angriff eines externen Hackers, findet der Test von extern über das Internet statt.

Bei einem Whitebox-Test bekommt der Tester umfangreiche Informationen über die zu testenden Systeme. Der Test findet in aller Regel aus dem internen Netz statt, um den Angriff eines Insiders zu simulieren.