Blackbox :
Avec les accès d'un simple utilisateur, dans des conditions réelles d'attaques. La cible fait l'objet de plusieurs tests portant aussi bien sur la partie système que la partie applicative. Ces tests "blackbox" se déroulent en plusieurs étapes :
- Phase 1 : prise d'empreintes, détection des services, identification des versions des applications
- Phase 2 : détection de vulnérabilités
- Phase 3 : évaluation des risques et d'exploitation
- Les tests portent sur diverses techniques d'intrusion :
- Fuites d'informations ;
- Configuration du serveur ;
- Injection base données (type SQLi) et injection de code (XSS)
Whithebox :
Ces tests visent une étude approfondie de l'application, de son fonctionnement, de son code et de son backoffice.
Ils nécessitent des accès à l'administration du site et au code source. L'étude permet d'approfondir le niveau de détection sur certaines attaques comme l'escalade de privilège et ceci s'avère particulièrement utile quand plusieurs types d'utilisateurs avec des droits différents accèdent à l'administration. Ces tests permettent de relever d'éventuelles mauvaises pratiques dans le code et des vulnérabilités en backoffice.