# Какие есть виды пентеста Но начнем с суровой реальности: заказчикам все эти виды пентеста не важны. Они думают прежде всего о затратах и результатах. Поэтому готовьтесь к тому, что вам будет необходимо объяснять простым языком о видах пентеста, об их преимуществах и недостатках. А теперь по делу.\ \ Виды пентеста в основном разделяют по главному признаку — известности системы. Мы написали о четырех, но есть еще один вид, о котором мы расскажем отдельно. ### Белый ящик Пентестер знает о системе. Он может получить данные от компании через ТЗ и действует с учетом знаний. С такими методом специалист моделирует ситуацию, когда злоумышленник знает слишком много о системе, например, через инсайдерскую информацию. | + | - | | -------------------------------------------- | ------------------------------------------ | | Полные знания о системе | Нужно постоянное участие заказчика | | Возможность тестировать на всех уровнях | Может занимать много времени | | Возможность оптимизации системы безопасности | Высокие затраты на подготовку и реализацию | ### Черный ящик Пентестер принимает роль злоумышленника, так как впервые сталкивается с системой: перед ним только данные из открытых источников. В России этот вид пентеста особенно популярен. | + | - | | ----------------------------------------------------------------- | -------------------------------------------------------------------------------------- | | Ближе к атакам реального хакера | Ограничено понимание внутренней структуры системы | | Даёт понимание о реальной степени защиты внешнего уровня системы | Есть шанс упустить уязвимость, которая сильно связана с устройством внутренней системы | | Более независимое и объективное тестирование | | ### Серый ящик Здесь пентестер не полностью знает систему компании. Чтобы выполнить подобный вид тестов → нужен доступ к исходному коду ПО. | Интеграционное тестирование | Неопытным тестировщикам сложно создавать тест-кейсы при неполном понимании системы | | ---------------------------------------- | ---------------------------------------------------------------------------------- | | Взгляд на проект со стороны пользователя | Бывает сложно с большими распределенными системами | | | | ### Слепое и двойное слепое тестирование Во всех видах ящика отдел ИБ в курсе, что пентестер проводит проникновение. В этом виде пентеста о нём знают только 1–2 человека в компании, причем они не имеют право разглашать эту информацию. Обычно этот вид проводят для понимания, как атакующий может обойти службу безопасности. Совет: если будете заниматься таким видом тестирования, имейте при себе документы, что вам можно совершать действия легально. Иначе могут быть проблемы. | + | - | | ------------------------------------------------ | ------------------------------------------------------- | | Комбинация плюсов чёрного и белого ящиков | Возможно неполное понимание системы | | Можно проверить систему с разных уровней доступа | Сложности с определением объема доступной информации | | Ещё более реалистичное моделирование атаки | Дополнительное согласование и сотрудничество с клиентом | --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://notes.kraken-security.ru/kraken/krupicy-znanii/karera/kakie-est-vidy-pentesta.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.