What is Black Box Testing?

Les tests en boîte noire, une forme de test réalisée sans connaissance des éléments internes d'un système, peuvent être effectués pour évaluer la fonctionnalité, la sécurité, la performance et d'autres aspects d'une application. Analyse dynamique du code est un exemple de test de sécurité automatisé en boîte noire. Les évaluateurs de la boîte noire définissent des cas de test et interagissent avec le logiciel comme le ferait un utilisateur pour valider qu'il fait ce qu'il doit faire, comme il doit le faire.

En savoir plus

What is Black Box Testing?

Types de tests en boîte noire

Les tests en boîte noire sont une méthodologie de réalisation des tests. Ces tests peuvent être conçus pour atteindre différents objectifs, notamment

  • Tests fonctionnels : Les tests fonctionnels ont pour but de valider qu'une application fait ce qu'elle est censée faire. Par exemple, les tests fonctionnels peuvent tester le mécanisme d'authentification d'une application pour vérifier que les utilisateurs légitimes peuvent s'authentifier avec succès et que les tentatives de connexion non valides sont rejetées. Les types de tests fonctionnels les plus courants sont les contrôles de cohérence, les tests d'intégration et les tests de système.
  • Tests non fonctionnels : Les tests non fonctionnels permettent d'évaluer dans quelle mesure une application remplit ses fonctions principales. Les tests de performance, de convivialité, d'évolutivité et de sécurité sont des exemples de tests.
  • Test de régression : Les tests de régression sont conçus pour s'assurer qu'une modification apportée à une application n'interrompt pas sa fonctionnalité. Par exemple, des tests de régression doivent être effectués après avoir corrigé une vulnérabilité dans une application afin de s'assurer que le correctif n'a pas fait échouer l'application aux tests fonctionnels ou non fonctionnels.

Techniques de test en boîte noire

En l'absence de connaissance interne d'une application, la structure est importante pour s'assurer que le test couvre tous les cas nécessaires. Voici quelques techniques courantes pour réaliser une évaluation de la boîte noire :

  • Test de classe d'équivalence : Une application peut suivre le même flux de contrôle pour certains types d'entrées. Par exemple, une application qui ne devrait être accessible qu'aux adultes peut s'interrompre si l'utilisateur indique un âge inférieur à 18 ans ou un outil dont la zone de service est limitée peut s'interrompre pour des codes de pays ou des codes postaux situés en dehors de cette zone. Avec les tests de classes d'équivalence, les testeurs identifient les classes qui produisent les mêmes résultats et ne testent qu'une seule valeur au sein de cette classe.
  • Évaluation des valeurs limites : Les valeurs limites sont des entrées où l'application passe d'un flux de contrôle à un autre. Par exemple, les âges de 17 et 18 ans sont des valeurs limites pour l'âge adulte, car une personne de 17 ans peut être rejetée par une application, alors qu'une personne de 18 ans sera acceptée. L'évaluation des valeurs limites teste ces entrées pour s'assurer que le système traite correctement ces cas limites.
  • Test de la table de décision : Une application peut être conçue pour prendre des décisions basées sur une combinaison de données. Par exemple, les utilisateurs âgés de plus de 18 ans et vivant dans une zone particulière peuvent être en mesure d'accéder à une application. Le test de la table de décision consiste à énumérer chaque combinaison d'entrées et ses résultats escomptés et à développer un scénario de test pour valider chaque combinaison.
  • Évaluation de la transition de l'État : Une application peut être conçue pour changer d'état dans certaines conditions, par exemple en verrouillant le compte d'un utilisateur après un certain nombre de tentatives d'authentification infructueuses. L'évaluation des transitions d'état consiste à identifier ces situations et à développer des cas de test pour les valider.
  • Vérification des erreurs : Cette forme d'évaluation teste les erreurs courantes qu'un développeur peut avoir commises lors de la création d'une application. Il s'agit souvent d'assainir les entrées et de s'assurer que les hypothèses concernant une entrée sont respectées. Par exemple, les testeurs peuvent vérifier si les développeurs gèrent correctement une entrée de zéro dans un champ numérique ou s'ils limitent le jeu de caractères d'un nom aux lettres et aux symboles qui peuvent apparaître dans un nom.

Tests en boîte noire ou en boîte blanche

Alors que les tests en boîte noire sont nommés pour le fait que le testeur n'a pas de connaissance interne de l'application (i.e. il s'agit d'une "boîte noire"), l'évaluation de la boîte blanche adopte l'approche inverse. Voici quelques-unes des principales différences entre les tests de la boîte noire et ceux de la boîte blanche :

  • Tests en boîte noire : Le testeur interagit avec l'application et tente de valider qu'une application répond aux exigences et spécifications fonctionnelles et non fonctionnelles. Le manque de connaissances internes peut rendre ces tests plus fastidieux et faire en sorte que des vulnérabilités dans des chemins de code non visités ne soient pas détectées. Cependant, il a l'avantage d'être indépendant de la langue et de la plate-forme.
  • Tests en boîte blanche : Contrairement aux tests "boîte noire", les évaluations "boîte blanche" sont réalisées en toute connaissance des éléments internes d'une application, y compris l'accès au code source. Les tests en boîte blanche offrent une meilleure couverture de test que les tests en boîte noire puisque tout le code peut être évalué. Cependant, elle nécessite une expertise dans le langage dans lequel le code a été développé.

Les tests "boîte noire" et "boîte blanche" représentent les deux extrêmes de la manière dont les tests peuvent être effectués. Les tests en boîte grise se situent entre les deux. Dans une évaluation en boîte grise, le testeur a une connaissance partielle des éléments internes du système, ce qui peut l'aider à orienter l'évaluation.  Autoprotection de l'application en cours d'exécution (RASP) est un outil de sécurité qui entre dans la catégorie des tests en boîte grise.

Black Box Security Testing avec Check Point

Check Point Professional Services offre une gamme de services de résilience et de tests de pénétration en matière de cybersécurité. Cela comprend les évaluations de sécurité de la boîte noire, de la boîte grise et de la boîte blanche.

En savoir plus sur Les services d'essais professionnels de Check Point. Vous êtes également invités à Nous contacter pour savoir comment nous pouvons vous aider à identifier et à corriger les problèmes de sécurité au sein de votre organisation.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK