White Box

Ein Testtyp, bei dem die Prüfer detaillierte Informationen über das Zielsystem erhalten. Dient der Simulation eines Angriffs mit Insiderwissen. White-Box-Tests beinhalten vollständigen Quellcode-Zugang, Architekturdiagramme, Netzwerk-Topologien und Benutzerhandbücher. Tester analysieren den Code statisch auf unsichere Bibliotheken, unsichere Zufallszahlengeneratoren, unsaubere Fehlerbehandlung und Hardcoded-Credentials. Dynamische Tests (DAST) werden durch gezielte unit- und integrationstests ergänzt, um sicherheitsrelevante Code-Pfade abzudecken. Durch Zugriff auf interne Dokumentationen können Tester Schwachstellen in Business-Logik, Datenbankdesign und API-Implementierungen tiefergehend untersuchen. White-Box-Tests sind besonders effektiv, um komplexe Angriffsketten (Chains of Vulnerabilities) zu identifizieren und dienen als Basis für automatisierte Security-Tools, die in CI/CD-Pipelines eingebunden werden. Die Ergebnisse führen oft zu Refaktorierungsempfehlungen und Architekturänderungen, um die Sicherheit dauerhaft zu erhöhen.