What is Gray Box Testing?

Gray-Box-Tests sind ein Anwendungssicherheit Testtechnik, die White-Box- und Black-Box-Tests kombiniert. Bei einer White-Box-Bewertung verfügt der Tester über umfassende interne Kenntnisse des zu testenden Systems (Quellcode, Designdokumente usw.). Eine Black-Box-Bewertung wird ohne Kenntnis der Systeminterna durchgeführt.

Gray-Box-Tests teilen den Unterschied auf, indem sie dem Prüfer teilweise Kenntnisse über die Systeminterna vermitteln. Beispielsweise verfügt ein Gray-Box-Tester möglicherweise nicht über vollständige Kenntnisse des Quellcodes einer Anwendung, verfügt jedoch möglicherweise über teilweise Kenntnisse darüber und/oder Zugriff auf die Designdokumentation. Dies bietet mehr Erkenntnisse als Black-Box-Tests und weniger als eine White-Box-Bewertung.

Mehr erfahren Cyber Security Risk Assessment

What is Gray Box Testing?

Gray-Box-Teststrategie

A gray box tester has more information than in a Black-Box-Tests und weniger als in einem White-Box-Test. Dies ist beabsichtigt und ermöglicht es einem Grey-Box-Tester, die Vorteile beider Ansätze zu kombinieren.

Gray-Box-Tests können die Effizienz und Testabdeckung einer Black-Box-Bewertung verbessern, indem sie die bereitgestellten Informationen vollständig nutzen. Obwohl ein Tester keinen vollständigen Zugriff auf den Quellcode der Anwendung hat, verfügt er über ausreichende Kenntnisse und Dokumentation, um die Kernfunktionen der Anwendung zu verstehen. Dadurch ist es möglich, Testfälle zu entwerfen, die sich auf wahrscheinliche Funktionalitäts- und Sicherheitsprobleme konzentrieren, anstatt blind zu testen.

Gray-Box-Prüfer verfügen über weniger Informationen als bei einem White-Box-Test, was die Effizienz und den Realismus des Tests verbessern kann. Durch die Reduzierung der Anzahl der Eingaben in die Bewertung kann die Zeit auf aktive Tests konzentriert werden, anstatt den bereitgestellten Code und die Dokumentation zu verarbeiten und zu überprüfen. Darüber hinaus trägt die Verweigerung der vollständigen Kenntnis des Systems durch die Gutachter dazu bei, Vorurteile darüber zu vermeiden, wie ein System konzipiert ist und nicht wie es tatsächlich funktioniert.

Schritte zur Durchführung von Gray-Box-Tests

Eine Gray-Box-Bewertung ist eine strukturierte Bewertung, die auf dem verfügbaren Wissen des zu testenden Systems basiert. Es sollte diesen Schritten folgen:

  1. Identifizieren Sie Eingaben anhand von White-Box- und Black-Box-Testtechniken
  2. Identifizieren Sie anhand der bereitgestellten Dokumentation die Ergebnisse, die diese Eingaben erzeugen sollen
  3. Identifizieren Sie die primären Kontrollflüsse, die getestet werden sollten
  4. Identifizieren Sie wichtige Unterfunktionen, die einer umfassenden Prüfung unterzogen werden sollten
  5. Identifizieren Sie Eingaben für eine Unterfunktion
  6. Identifizieren Sie die Ausgaben, die die Unterfunktion für die gegebenen Eingaben erzeugen soll
  7. Entwickeln und führen Sie einen Testfall für diese Unterfunktion aus
  8. Stellen Sie sicher, dass die Unterfunktion das erwartete Ergebnis für den Testfall liefert
  9. Wiederholen Sie die Schritte 4-8 für alle Unterfunktionen

Gray-Box-Testtechniken

Gray-Box-Tests können auf verschiedene Arten durchgeführt werden, darunter:

  • Matrixtest: Matrixtests konzentrieren sich auf die Variablen innerhalb eines Programms, auf deren Aufzählung, auf die Bewertung der von ihnen ausgehenden Risiken und auf die Prüfung, ob sie korrekt und effizient eingesetzt werden.
  • Regressionstests: Der Code kann geändert werden, um Funktionen hinzuzufügen oder Sicherheitsprobleme zu beheben. Durch Regressionstests wird überprüft, ob eine Anwendung die Tests auch nach einer Änderung noch besteht.
  • Mustertest: Mustertests untersuchen die Vergangenheit einer Anwendung, um Trends zu identifizieren, die in der Vergangenheit zu Fehlern geführt haben und dies möglicherweise auch in Zukunft tun werden. Die Ergebnisse dieser Tests können verwendet werden, um zu verhindern, dass diese Probleme in Zukunft erneut auftreten.
  • Orthogonales Array-Testen (OAT): OAT wird mit einer Anwendung verwendet, die über wenige, komplexe Eingaben verfügt. Es verwendet Statistiken, um eine Reihe von Testfällen zu erstellen, die eine gute Testabdeckung ohne den Aufwand umfassender Tests bieten.

Black Box vs White Box Testing vs Gray box

Black-Box-, White-Box- und Grey-Box-Tests vermitteln dem Tester unterschiedliche Kenntnisse über die Interna des zu testenden Systems. Im einen Extremfall bieten White-Box-Tests vollständigen Zugriff auf Quellcode und Designdokumentation. Andererseits haben Black-Box-Tester keine internen Kenntnisse über die Funktionsweise der Anwendung.

Diese unterschiedlichen Wissens- und Zugangsebenen wirken sich erheblich auf den Testprozess aus. Zu den wichtigsten Unterschieden gehören:

  • Test Coverage: White-Box-Tests können eine vollständige Testabdeckung garantieren, da sie vollen Zugriff auf den Code haben, während Black-Box-Tests keine solchen Garantien bieten. Das graue Kästchen liegt in der Mitte, da Tester einen Teil der Testplanung auf der Grundlage der Dokumentation durchführen können, aber für undokumentierte und unzugängliche Codepfade blind sind.
  • Standort im SDLC: White-Box-Tests verwenden Quellcode, sodass sie frühzeitig implementiert werden können CI/CD-Pipelines. Gray- und Black-Box-Tests funktionieren beim Ausführen von Code und fallen daher später in den SDLC.
  • Analysetools: White-Box-Tests verwenden statische Code-Analysetools, um den Quellcode zu analysieren. Verwendung von Gray- und Black-Box-Tests dynamische Codeanalyse Werkzeuge, wie z Scannen von Schwachstellen, um eine laufende Anwendung zu analysieren.
  • Tester Mindset: White-Box-Tests basieren auf der Denkweise eines Entwicklers, während Black-Box-Tests aus der Benutzerperspektive durchgeführt werden. Gray-Box-Tests spalten den Unterschied auf und beseitigen die Vorurteile der Entwickler hinsichtlich der Funktionsweise einer Anwendung, ermöglichen aber auch den Zugriff auf mehr Informationen, als der durchschnittliche Benutzer hat.

Check Point CRT

Check Point’s Professional Services Das Portfolio kann dazu beitragen, die Sicherheitsbemühungen einer Organisation für Anwendungen zu unterstützen. White-, Grey- und Black-Box-Sicherheitsbewertungen sind Teil von Check Point Cybersicherheits-Resilienz-/Penetrationstestdienste.

Erfahren Sie mehr über die Stärkung des Anwendungssicherheitsprogramms Ihres Unternehmens mit Check Point professionelle Prüfdienstleistungen. Gerne auch Kontaktieren Sie uns Erfahren Sie mehr darüber, wie ein maßgeschneidertes Testprogramm dabei hilft, Sicherheitsprobleme in Ihrem Unternehmen zu erkennen und zu beheben.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK