English
Pentesten worden uitgevoerd mét kennis vooraf (grey-box/white-box), of zonder kennis vooraf (black-box). Web Security Scan geeft voorkeur aan pentesten met kennis vooraf (grey-box/white-box testmethode), zoals bijvoorbeeld inloggegevens/test accounts, IP-ranges en overzichten van onderliggende services, configuratie-informatie, inzicht in de systeemarchitectuur, en toegang tot de database en/of broncode, . Het voordeel hiervan is dat de pentesters een vollediger beeld hebben van de applicaties en systemen en onderliggende IT-infrastructuur, waarmee ze ook dieper op bepaalde zaken in kunnen gaan en daardoor completere en nauwkeurige resultaten kunnen behalen binnen de beschikbare tijd.
Een pentest die wordt uitgevoerde zonder enige kennis vooraf (black-box testmethode) simuleert een real life hacking situatie. Echter zal dit meer tijd in beslag nemen om het testobject te doorgronden, waardoor er minder tijd overblijft om andere onderdelen die in scope zijn grondig te onderzoeken. Hierdoor kunnen er security blind spots ontstaan, omdat er mogelijk functionaliteiten zijn die niet getest worden tijdens een dergelijke onderzoeksopzet.
Met een white-box testmethode worden ook black-box en grey-box testen uitgevoerd, waarbij dus bijvoorbeeld ook getest wordt van buitenaf en vanuit ongeautoriseerd gebruikersperspectief.