Test d'intrusion - Définition
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
La liste des auteurs de cet article est disponible ici.
Le testeur se trouve en possession des informations nécessaires (ou white box)
Le testeur peut être en possession de nombreuses informations. Parmi elles, les plus courantes sont :
- Schémas d'architecture ;
- Compte utilisateur permettant de s'authentifier ;
- Code source de l'application ;
- Etc.
Dans ce cas, il n'aura plus qu'une chose à faire : rechercher la ou les failles, et trouver le moyen de les exploiter.
De même, un testeur se trouvant à l'intérieur du réseau à tester aura plus de facilité à trouver ces failles car il connaît non seulement le système, mais il peut avoir accès directement aux ressources dont il a besoin.
Le testeur possède un nombre limité d'informations (ou grey box)
En général, lors de tests d'intrusion en mode boîte grise, le testeur dispose uniquement d'un couple identifiant - mot de passe. Ceci lui permet notamment de passer l'étape d'authentification.
L'objectif de ce type de test est d'évaluer le niveau de sécurité vis à vis d'un "utilisateur normal".
