arrow_back Semua artikel
// Artikel

Jenis-Jenis Penetration Testing: Black-Box vs Grey-Box vs White-Box

Dipublikasikan 3 Juni 2026

Jenis penetration testing dijelaskan dalam dua dimensi: berdasarkan tingkat akses yang diberikan kepada penguji — black-box, grey-box, atau white-box — dan berdasarkan apa yang diuji — aplikasi web, aplikasi mobile, infrastruktur, atau Active Directory. Memilih kombinasi yang tepat bergantung pada threat model dan anggaran Anda.

Berdasarkan tingkat akses

Black-box

Penguji memulai tanpa pengetahuan internal — hanya target, seperti penyerang eksternal sungguhan. Ini paling baik mensimulasikan penyerang luar yang oportunis, tetapi paling tidak efisien: banyak waktu habis untuk tahap discovery yang akan dilewati pada white-box.

White-box

Penguji menerima informasi lengkap — source code, diagram arsitektur, kredensial. Pendekatan ini menemukan paling banyak isu per jam dan ideal untuk jaminan mendalam pada aplikasi kritis. Ia tidak mensimulasikan titik awal penyerang eksternal, tetapi memaksimalkan cakupan.

Grey-box

Penguji mendapat pengetahuan sebagian — biasanya akun pengguna standar dan sebagian dokumentasi. Ini mensimulasikan penyerang yang sudah punya foothold, atau insider jahat. Bagi sebagian besar organisasi, grey-box adalah keseimbangan terbaik antara realisme, cakupan, dan biaya, sehingga menjadi pendekatan yang paling sering diminta.

Berdasarkan target

Tingkat akses di atas berlaku untuk sistem apa pun yang Anda uji. Empat target yang paling umum:

  • Aplikasi web & API — engagement paling umum. Menguji autentikasi, kontrol akses (IDOR), injection, kelemahan logika bisnis, dan keamanan API.
  • Aplikasi mobile — iOS dan Android, mencakup penyimpanan tidak aman, komunikasi antar-proses, dan API backend yang digunakan aplikasi.
  • Infrastruktur / jaringan — pengujian perimeter eksternal dan internal, menemukan miskonfigurasi dan layanan yang dapat dieksploitasi.
  • Active Directory — analisis jalur eskalasi privilege dan lateral movement di dalam domain Windows, memetakan rute dari foothold hingga Domain Admin.

Kami melakukan keempatnya — lihat layanan kami untuk detail ruang lingkup, dan metodologi untuk cara setiap engagement berjalan.

Cara memilih

  1. Petakan permukaan serangan Anda. Apa yang menghadap internet? Apa yang menyimpan data sensitif?
  2. Pilih target yang sesuai. Aplikasi fintech butuh web/API dan kemungkinan mobile; enterprise juga butuh infrastruktur dan AD.
  3. Pilih tingkat akses. Grey-box adalah titik optimal default; pilih white-box untuk sistem kritis yang membutuhkan ketelitian maksimal; pilih black-box bila Anda secara khusus ingin mengukur paparan eksternal.

Belum yakin mana yang sesuai? Hubungi kami dan kami bantu menyusun ruang lingkupnya.

Pertanyaan yang sering diajukan

Mana yang lebih baik: black-box atau white-box? add

Tidak ada yang lebih baik secara mutlak. Black-box mensimulasikan penyerang eksternal tanpa pengetahuan internal; white-box lebih menyeluruh dan menemukan lebih banyak isu per jam karena penguji punya informasi lengkap. Grey-box adalah jalan tengah yang umum dan biasanya paling efisien.

Apa itu grey-box penetration testing? add

Grey-box memberi penguji pengetahuan sebagian — biasanya kredensial pengguna standar dan sebagian dokumentasi — mensimulasikan penyerang yang sudah mendapat foothold atau insider jahat. Pendekatan ini menyeimbangkan realisme dan efisiensi.

Apakah kami butuh keempat jenis (web, mobile, infrastruktur, Active Directory)? add

Hanya yang sesuai dengan permukaan serangan Anda. Perusahaan SaaS biasanya butuh pengujian web dan API; enterprise dengan sistem on-premise juga butuh pengujian infrastruktur dan Active Directory.

Punya sistem yang perlu diuji?

> Hubungi_Kami