In de beoordeling van de veiligheid van software speelt voor veel mensen de penetratietests of pentests een belangrijke rol. Ze worden in veel verschillende smaken geleverd, wat de beoordeling lastig maakt. Hoe onderscheid je een lijstje van een onderzoeker met gevonden lekken van een gestructureerd onderzoek waar je een auditwaarde aan kunt ontlenen? Na het bekijken van tientallen pentests is het duidelijk dat er grote verschillen bestaan. Anders gezegd: de ene pentest is de andere niet.
De pentest is een onderzoek naar kwetsbaarheden in voornamelijk software. Wanneer wordt getest op een object zonder logingegevens of gedetailleerde schema’s spreken we van een blackbox test. Zodra er verdere informatie beschikbaar is over het object en er ook logingegevens worden verstrekt, heet het een greybox test.
Is vervolgens ook de broncode van de programmatuur beschikbaar dan is het een crystalbox test of whitebox test. Een securityreview van de broncode noemen we doorgaans een pentest. Naarmate er dieper naar het product wordt gekeken, nemen zowel de waarde van het onderzoek als de kostprijs toe.
Lees het hele artikel online of in de printeditie van ICT/Magazine.
