灰盒与白盒区别

黑盒测试就像神农尝百草一样，在只知道目标与相关连的帐号之后，开始进行测试工作。此类型的测试主要是在找出比较常见且已知的大问题，其所花费的时间与资源相对也是最少。但是，也有可能遗漏一些逻辑上的安全问题。
至于灰盒测试，则是测试者对应用程序的了解一开始很少，但可随着需要而取得相关的原始码或是设计说明文件，花的时间较黑盒测试长，但是可能会找到一些黑盒测试过程中找不到的安全漏洞。举例来说，曾有一家公司的程序设计师在一个 Apache module 中埋了后门，只需利用特定的 Header 名称就可以下指令。这种安全炸弹在黑盒测试里面，可说是不可能找到的，因为其组合可能有千百万种，没有人可以在有限的时间内找到，而灰盒测试不同，基本上，测试者可以检查特定部份的原始码，而找出上述的后门。
所谓的白盒测试，即是所有信息都对测试者开放，通常也会伴随着所谓原始码检查的工作。自然而然，白盒测试会是最耗时间但是也会是最完整的测试。每一个应用程序应该最少要通过一次白盒式的测试才能确保安全无忧。