Bei Pentests ist oft von den drei verschiedenen Typen „Blackbox-“, „Greybox-“ und „Whitebox-Test“ die Rede. Hierbei handelt es sich um das Vorwissen, mit dem der für die Detailanalyse bzw. den Penetrationstest simulierte Angreifer auf die Systeme zugreifen kann.
Blackbox-Test
Bei diesem Test erhält der Analyst gewöhnlich nur den Namen bzw. die IP-Adresse des zu testenden Systems, sowie Informationen, die jedermann öffentlich erhalten bzw. zugreifen kann. Diese Art der Analyse simuliert am ehesten einen externen Angreifer, der über keinerlei Vorwissen über das angegriffene System bzw. das angegriffene Ziel verfügt.
Greybox-Test
Dieser Test unterscheidet sich von dem Blackbox-Test insofern, dass der Angreifer zusätzlich Detailinformationen zum System sowie, wenn verfügbar, einfache Zugriffsrechte auf das System erhält (z.B. nicht-administrativen Nutzeraccounts). Mit diesen Wissen kann der simulierte Angriff deutlich zielgerichteter erfolgen, und die Aussagekraft des Ergebnisses ist deutlich höher als bei einem Blackbox-Test, bei dem das Erlangen dieses Vorwissens gewöhnlich auch nur eine Frage der Zeit ist. Daher simuliert diese Art der Analyse einen registrierten bzw. internen Nutzer eines Systems, und ist in den meisten Fällen die empfohlene Analysemethode.
Whitebox-Test
Bei dieser Art des Tests kann der Analyst auf alle von ihm benötigten Informationen und Ressourcen zugreifen, wie z.B. auf einen administrativen Account auf dem Zielsystem, oder bei Selbstentwicklungen ggf. auf den Source-Code des zu testenden Systems. Diese Art der Analyse eignet sich vor allem für Tests, bei denen die Konformität zu einer Vorgabe/einem Standard überprüft werden soll, sowie für begleitende Sicherheitsanalysen im Software-Entwicklungsprozess.
Der empfohlene Test-Typ für die meisten Pentests ist der Greybox-Test, da er eine gute Mischung aus Aufwand und aussagekräftigem Ergebnis liefert.