Le test d’intrusion en Grey Box
Le test en grey box consiste à tenter de s’introduire dans le système d’informations en disposant d’un nombre limité d’informations sur l’organisation et son système. Ce cas permet de vérifier les failles d’un système en se positionnant soit en tant que collaborateur de l’entreprise ayant accès en interne à quelques informations, soit en tant que point de départ d’un hacker qui aurait réussi à avoir accès à un compte utilisateur au sein de l’organisation.
Dans quels cas ?
Le pentester dispose des identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.
Avantages
Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.
Limites
Le hacker dispose dans la majorité des cas de quelques informations.
Cependant, le pentester ne peut pas garantir que le hacker n’aura pas trouvé une nouvelle technique de piratage et ainsi trouvé une nouvelle faille exploitable. Il y a donc toujours une limite de test d’intrusion même si le risque est minimisé.
Input your search keywords and press Enter.