Black box, grey box of white box pentest: wanneer kies je wat?
Als je een penetratietest aanvraagt, is één van de eerste vragen: welke aanpak gebruiken we? Black box, grey box of white box? Elke methode heeft een ander uitgangspunt, een ander doel en een andere effectiviteit. Dit artikel helpt je kiezen.
Snel overzicht
| Aanpak | Voorkennis tester | Beste voor | Tijdsinvestering |
|---|---|---|---|
| Black box | Geen | Externe aanvalsscenario’s, perimeter | Hoog |
| Grey box | Beperkt (user-level) | Webapplicaties, API’s, SaaS | Gemiddeld |
| White box | Volledig | Compliance, code-review, DigiD, ISO | Laag (bij gelijke dekking) |
Black box: de externe aanvaller
De tester begint met nul informatie — net zoals een echte aanvaller. De hele verkenningsfase (reconnaissance) maakt deel uit van de test. Dit geeft het meest realistische beeld van wat een externe kwaadwillende kan bereiken.
Kies black box als:
- Je wilt weten hoe robuust je externe perimeter is
- Je een realistische aanvalssimulatie wilt zonder hints
- Je periodieke externe validatie wilt (jaarlijks red team-achtig)
Nadeel: De reconnaissance-fase kost tijd. Je betaalt voor uren die bij grey box niet nodig zijn. Bij complexe webapplicaties is black box vaak minder efficiënt.
Grey box: de geauthenticeerde gebruiker
De meest gebruikte aanpak. De tester heeft een gebruikersaccount, maar geen admin-rechten of broncode. Dit simuleert een aanvaller die een account heeft bemachtigd — via phishing, credential stuffing of een gelekte wachtwoordlijst.
Kies grey box als:
- Je een webapplicatie of portal test
- Je een API pentest laat uitvoeren
- Je efficiëntie zoekt zonder realisme te verliezen
- Je een SaaS-platform test (zie ook SaaS pentest)
White box: de volledige beoordeling
De tester krijgt broncode, architectuurdocumentatie en soms beheerderssrechten. Dit maakt een grondige beoordeling mogelijk in kortere tijd — maar simuleert geen externe aanvaller.
Kies white box als:
- Je een DigiD ICT-beveiligingsassessment laat uitvoeren (NIBAD vereist dit)
- Je een ISO 27001-pentest laat uitvoeren
- Je intern software ontwikkelt en de code grondig wilt laten toetsen
- Je maximale dekking wilt in minimale tijd
Combinaties zijn ook mogelijk
In de praktijk combineren we vaak aanpakken. Bijvoorbeeld: een black box externe verkenning gevolgd door een grey box applicatietest. Of een white box code review aangevuld met een grey box runtime test. De combinatie hangt af van uw scope, budget en doelstelling.
Wat adviseert MonkeysICT?
- Webapplicatie of API → grey box
- Externe infrastructuur, perimeter → black box
- Compliance-gedreven test (DigiD, ISO 27001) → white box
- Zorg of overheid (NEN 7510, BIO) → grey of white box afhankelijk van scope
Meer over onze methodologie op de pagina pentestmethodologie.
