Une entreprise envisage d’évaluer la sécurité d’une application web accessible sur Internet via un test d’intrusion. On suppose que l’attaquant ne dispose d’aucune connaissance sur la cible (architecture IT, systèmes utilisés, code source, langages utilisés,…). Dans ce contexte, quel type de test d’intrusion serait le plus approprié ?

[A] Test en en boîte noire (Black Box)

[B] Test en en boîte grise (Gray Box)

[C] Test en en boîte grise (Gray Box)

[D] Test en en boîte transparente (Crystal Box)


reponse linkedin

CBK6 Q11 LINK


Dans un test d’intrusion en boîte noire (Black-box), l’équipe de Pentest ne dispose d’aucune connaissance préalable sur la cible (Zero-Knowledge Team) alors que dans un test d’intrusion en boîte grise (Gray-box), l’équipe dispose de connaissances partielles (Partial-Knowledge Team).

Enfin dans un test d’intrusion en boîte blanche (White-box ou Crystal-box), l’équipe de Pentest dispose d’un maximum d’informations techniques (Full-Knowledge Team). Cela peut inclure l’architecture IT,le plan d’adressage IP, du code source, des contacts téléphoniques, des identifiants, …

La bonne réponse est la proposition [A]

tip

Pour en savoir plus sur les évaluations de sécurité (audits et tests d’intrusion),  nous vous recommandons de suivre le module n°16 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE