White Box
Was ist White Box Testing?
White Box Testing ist ein Testtyp in der IT-Sicherheit, bei dem die Prüfer umfassende Einblicke in die interne Funktionsweise des Zielsystems erhalten – darunter:
-
Quellcode-Zugriff
-
Architektur- und Netzwerkdiagramme
-
Datenflussmodelle
-
Benutzer- und Admin-Dokumentationen
Diese Form des Tests simuliert Angriffe mit Insiderwissen und erlaubt eine besonders tiefgehende Analyse potenzieller Schwachstellen – sowohl in der technischen Implementierung als auch in der Business-Logik.
Typische White-Box-Testverfahren
-
Statische Codeanalyse: Prüfung auf Schwachstellen wie unsichere Bibliotheken, harte Codierung von Passwörtern, fehlerhafte Eingabevalidierung
-
Dynamische Tests (DAST) kombiniert mit gezielten Unit- und Integrationstests
-
Sicherheitsvalidierung interner API-Endpunkte und Datenbanken
White-Box-Tests ermöglichen auch die Automatisierung von Sicherheitsprüfungen in CI/CD-Pipelines und gelten als eine der gründlichsten Formen von Application Security Testing.
Anwendung in der Praxis
Ein Finanzdienstleister plant ein neues Online-Banking-Portal und beauftragt einen White-Box-Test. Das externe Pentest-Team erhält vollständigen Zugriff auf die Backend-Quellcodes, Datenbankschemata und Deployment-Skripte. Bei der Analyse entdecken die Tester mehrere kritische Pfade, in denen Benutzerrollen falsch geprüft werden, sowie hartkodierte API-Schlüssel im Backend. Die Tester liefern konkrete Empfehlungen zur Refaktorierung der Authentifizierungsmodule und helfen beim Einbinden von statischer Codeanalyse in die CI/CD-Pipeline.