Основное отличие пентеста чёрного ящика от пентеста белого ящика заключается в доступе к информации о системе. 12

Пентест чёрного ящика (black box testing) предполагает, что тестировщик ничего не знает о системе и разрабатывает тест как неосведомлённый злоумышленник. 3 Тестировщикам не предоставляются какие-либо схемы архитектуры или исходный код, которые не являются общедоступными. 3 При таком подходе проверяют только логику функционирования продукта. 1

Пентест белого ящика (white box testing) предполагает, что тестировщик получает полную информацию о системе: устройстве сети, средствах защиты, исходном коде, процессах и так далее. 2 Тестировщик видит, как реализован продукт, какое дополнительное ПО подключено для его функционирования, какие взаимосвязи используются. 1

Некоторые преимущества пентеста чёрного ящика:

• эмулирует реальные условия атаки, когда хакер не имеет знаний о системе; 2
• позволяет оценить уровень защиты системы внешними атакующими. 2

Некоторые преимущества пентеста белого ящика:

• даёт представление о чистоте и структуре кода, наличии уязвимостей, корректности циклов и ожидаемых результатов; 1
• используется на ранних стадиях разработки, когда функции ещё не дописаны и взаимосвязи не настроены. 1

Обычно методы «белого» и «чёрного ящика» работают в связке. 1 Например, если продукт протестировали по методу «чёрного ящика» и ничего не нашли, то потом его могут передать на проверку по методу «белого ящика» и выявить уязвимости, которые не заметили в первый раз. 1