A grey box tesztelés célja a nem megfelelő felépítésből, vagy az alkalmazások nem megfelelő használatából eredő hibák felkutatása. A grey box teszt a white box és a black box tesztelés kombinációja. Ezzel a módszerrel leggyakrabban olyan alkalmazásokat és hálózatokat vizsgálunk, melyekről a tesztelők már rendelkeznek részleges ismeretekkel és hozzáférnek a működő rendszer bizonyos elemeihez.
A web alkalmazás vizsgálat esetén a grey box megközelítés azt jelenti, hogy az alkalmazáshoz tartozó minden felhasználói szint vizsgálatra kerül. A rendszerben a vizsgálathoz szükséges mennyiségű (általában teszt) adat van. A vizsgált alkalmazás üzemeltetőjének tudtával, az oldal működéséhez/terheltségéhez alkalmazkodó idősávban végezzük a munkát.
Az alkalmazás OWASP megközelítésű vizsgálatában fontos szerepe van az injekciós támadások vizsgálatának, de az egyes felhasználói szintek közötti nem megfelelő jogosultság elszeparálást is vizsgáljuk. Ilyenkor kiderülhet, hogy egy rosszindulatú felhasználó hozzáférhet más felhasználók rendeléseihez, személyes, vagy akár egészségügyi/fizetési adataihoz is. Általában igaz, hogy az adatvesztéssel járó incidensek döntő többségének a hátterében elégedetlen dolgozók állnak.
A hálózati vizsgálat esetén a grey box módszer lényege, hogy a hálózat egyes vizsgálatra kijelölt elemeinek ellenőrzését a rendszer használatához elégséges információ birtokában végezzük el. Ilyen információ például a hálózat felépítése és az alhálózatok leírása, a használatban levő szoftverek, a kialakított jogosultságkezelési rendszer, valamint a teszt felhasználók belépési adatai.
Ennek a vizsgálatnak is fontos eleme a jogosultsági szintek megkerülhetőségének az ellenőrzése. A vizsgálat eredménye hatékony támogatást jelent a rendszer üzemeltetőinek. Itt gyakran előforduló probléma lehet a hálózati szegmensek átjárhatósága, valamint nem elhanyagolható a fájl hozzáférésekből eredő illetéktelen adathozzáférések aránya sem.
Ügyfeleink megelégedésére több éve végzünk grey box vizsgálatot a penetrációs teszt és a web alkalmazás vizsgálat részeként! Segíthetünk? Lépjen kapcsolatba velünk!
