OSCP · OSWE · OSEP gecertificeerd | Joost voert elke test zelf uit — geen juniors | Reactie binnen 1 werkdag | Gevestigd in Haarlem

Pentestmethodologie: black box, grey box en white box

Bij het aanvragen van een penetratietest kom je al snel termen als black box, grey box en white box tegen. Wat is het verschil? Welke aanpak past bij jouw situatie? En hoe voert MonkeysICT een pentest uit?

Black box pentest

Bij een black box pentest heeft de tester geen voorkennis over de interne werking van het systeem. De aanpak simuleert een externe aanvaller die puur van buitenaf probeert in te breken — net als een cybercrimineel die jouw organisatie niet kent.

  • Wat je test: hoe robuust zijn je externe verdedigingslagen?
  • Geschikt voor: realistische aanvalsscenario’s, periodieke externe validatie
  • Voordeel: meest authentieke simulatie van een externe aanval
  • Nadeel: tijdsintensiever — de tester moet zelf verkenning doen

Grey box pentest

Bij een grey box pentest heeft de tester beperkte informatie: bijvoorbeeld inloggegevens van een reguliere gebruiker, maar geen admin-toegang of broncode. Dit simuleert een aanvaller met gedeeltelijke kennis — een medewerker, ex-medewerker of iemand die een account heeft bemachtigd.

  • Wat je test: hoe ver komt een geauthenticeerde maar onbevoegde gebruiker?
  • Geschikt voor: webapplicaties, portals, SaaS-omgevingen, API’s
  • Voordeel: efficiënter dan black box, realistischer dan white box
  • Nadeel: test externe defensie minder grondig

Grey box is de meest gebruikte aanpak voor webapplicatie pentests en API pentests.

White box pentest

Bij een white box pentest heeft de tester volledige informatie: toegang tot broncode, architectuurdocumentatie, netwerkdiagrammen en soms ook beheerdersaccounts. Dit maakt een diepgaande, grondige beoordeling mogelijk.

  • Wat je test: diepteanalyse van code, configuratie en architectuur
  • Geschikt voor: software-ontwikkelaars, SaaS-bedrijven, ISO 27001-trajecten, DigiD-assessments
  • Voordeel: meest volledige dekking — weinig kan onopgemerkt blijven
  • Nadeel: minder realistische simulatie van een externe aanvaller

White box wordt vaak gecombineerd met een ISO 27001 pentest of een DigiD ICT-beveiligingsassessment.

Welke aanpak kiest MonkeysICT?

We bepalen de aanpak altijd samen met de klant, op basis van:

  • Het doel van de test (compliancy, risicobeheersing, ontwikkeling)
  • De scope (webapplicatie, API, infrastructuur, intern netwerk)
  • Beschikbare tijd en budget
  • Eventuele regelgeving (NIS2, DigiD, PCI DSS, ISO 27001)

In de praktijk kiezen we vaak voor een grey box aanpak bij webapplicaties en API’s, en white box bij SaaS-omgevingen of compliancy-gedreven tests.

Onze werkwijze stap voor stap

  1. Scoping — Samen bepalen we wat er getest wordt, welke systemen in scope zijn en welke aanpak past.
  2. Verkenning (Reconnaissance) — Passieve en actieve informatieverzameling over het doelwit.
  3. Kwetsbaarheidsanalyse — Identificatie van potentiële zwakke punten via geautomatiseerde scans én handmatige inspectie.
  4. Exploitatie — Bewijs van misbruik: we tonen aan hoe een aanvaller een kwetsbaarheid daadwerkelijk kan exploiteren.
  5. Post-exploitatie — Wat is de reikwijdte van de schade? Laterale beweging, datablootstelling, privilege escalation.
  6. Rapportage — Een helder rapport met managementsamenvatting, technische bevindingen met CVSS-scores en concrete aanbevelingen.
  7. Presentatie & nabespreking — We lichten het rapport toe en beantwoorden vragen van het team.

Standaarden en methodieken

MonkeysICT werkt conform erkende standaarden:

  • OWASP Testing Guide — voor webapplicaties en API’s
  • PTES (Penetration Testing Execution Standard) — voor infrastructuur
  • OSSTMM — voor brede security assessments
  • NIST SP 800-115 — gehanteerd bij overheids- en compliancy-trajecten

FAQ

Welke aanpak is het beste voor een kleine webapplicatie?

Grey box is in de meeste gevallen de beste keuze: efficiënt, realistisch en gericht. We simuleren een aanvaller met basis-toegang en testen wat er mis kan gaan met echte gebruikerssessies.

Is white box hetzelfde als een code review?

Nee. Een white box pentest test het draaiende systeem met broncode als context. Een code review analyseert de code statisch. Beide kunnen elkaar aanvullen, maar zijn niet identiek.

Hoe lang duurt een grey box webapplicatie pentest?

Doorgaans 3 tot 5 werkdagen, afhankelijk van de omvang van de applicatie en het aantal use-cases. Je ontvangt altijd een vaste tijds- en prijsopgave vooraf.

Kan ik een pentest laten uitvoeren op mijn productieomgeving?

Ja, dit is mogelijk en vaak ook aan te raden voor een realistisch beeld. We plannen buiten piekuren en communiceren transparant over de aanpak om verstoring te minimaliseren.

Wat is het verschil tussen een pentest en een kwetsbaarheidsscan?

Een kwetsbaarheidsscan is geautomatiseerd en detecteert bekende lekken. Een pentest gaat verder: een ethische hacker probeert actief in te breken en vindt ook logica- en business-laag kwetsbaarheden die scanners missen. Meer hierover op verschil kwetsbaarheidsscan en pentest.

Klaar om te starten? Vraag een offerte aan of bekijk onze penetratitest diensten.

Scroll naar boven