Apa Itu Black Box, Grey Box, dan White Box Pentest? Penjelasan Sederhana + Contoh

Dalam dunia keamanan siber, penetration testing (pentest) adalah proses menguji keamanan sistem, aplikasi, atau jaringan dengan cara mensimulasikan serangan dari pihak luar maupun dalam. Tujuannya adalah menemukan kelemahan sebelum penyerang yang sebenarnya menemukannya.

1. Black Box Testing
2. Grey Box Testing
3. White Box Testing

Dalam pelaksanaannya, ada tiga pendekatan utama yang sering digunakan:

Perbedaan ketiganya terutama terletak pada seberapa banyak informasi yang diberikan kepada pentester sebelum pengujian dimulai.

1. Black Box Testing

Definisi:
Black box testing adalah metode pentest di mana pentester tidak diberikan informasi sama sekali tentang sistem target. Pentester harus memulai dari nol, seperti layaknya seorang hacker dari luar yang tidak punya akses atau pengetahuan internal.

Ciri-ciri:

• Tidak ada data login, peta jaringan, atau kode sumber yang diberikan.
• Pentester harus mengumpulkan informasi sendiri menggunakan teknik reconnaissance (pengintaian).
• Lebih fokus pada bagaimana serangan dari luar dilakukan.

Kelebihan:

• Mensimulasikan serangan dunia nyata dari pihak luar (external attacker).
• Bisa menguji efektivitas sistem deteksi dan respon keamanan (IDS, IPS, firewall).

Kekurangan:

• Memakan waktu lebih lama karena harus melakukan pengumpulan informasi dari awal.
• Beberapa celah internal mungkin tidak terdeteksi karena tidak ada akses ke bagian dalam.

Contoh:
Seorang pentester diminta menguji sebuah situs e-commerce tanpa diberikan informasi apapun. Dia mulai dengan:

• Mengecek siapa pemilik domain (WHOIS lookup).
• Menggunakan tools seperti Nmap untuk memindai port.
• Mencoba mencari halaman tersembunyi dengan Dirbuster.
• Melakukan SQL injection pada form login tanpa tahu struktur databasenya.

Analogi:
Seperti mencoba membobol rumah tanpa tahu denahnya, kunci yang dipakai, atau siapa pemiliknya.

2. Grey Box Testing

Definisi:
Grey box testing adalah metode pentest di mana pentester diberikan sebagian informasi tentang sistem. Informasi ini bisa berupa akun pengguna dengan hak tertentu, skema jaringan sebagian, atau dokumentasi fitur.

Metode ini adalah kombinasi dari black box dan white box, sehingga lebih realistis untuk menggambarkan serangan dari orang dalam dengan akses terbatas (misalnya pegawai baru atau vendor).

Ciri-ciri:

• Informasi diberikan sebagian (misalnya kredensial user biasa, tapi tidak admin).
• Pentester tetap melakukan reconnaissance, tapi dengan titik awal yang lebih jelas.
• Fokus pada pengujian celah dari sudut pandang semi-outsider.

Kelebihan:

• Lebih cepat dibanding black box karena ada informasi awal.
• Dapat menemukan kelemahan internal yang mungkin tidak terlihat dari luar.
• Meniru skenario serangan orang dalam dengan hak terbatas.

Kekurangan:

• Tidak sepenuhnya mensimulasikan serangan hacker luar.
• Risiko bias karena pentester sudah mengetahui sebagian informasi.

Contoh:
Pentester diminta menguji sistem HR perusahaan dan diberikan akun karyawan biasa. Dia mencoba:

• Mengakses data karyawan lain yang seharusnya tidak bisa dilihat.
• Mengecek apakah bisa meningkatkan hak akses (privilege escalation) menjadi admin.
• Menguji keamanan API internal yang hanya bisa diakses setelah login.

Analogi:
Seperti mencoba membobol rumah dengan modal kunci pintu depan, tapi tidak tahu lokasi brankas atau sistem alarmnya.

3. White Box Testing

Definisi:
White box testing adalah metode pentest di mana pentester diberikan semua informasi tentang sistem. Ini termasuk kode sumber, diagram arsitektur, konfigurasi server, kredensial, dan dokumentasi lengkap.

Ciri-ciri:

• Transparansi penuh antara pemilik sistem dan pentester.
• Fokus pada identifikasi kerentanan secara mendalam, termasuk celah pada kode dan konfigurasi.
• Dapat mencakup code review, security configuration review, dan pengujian logika aplikasi.

Kelebihan:

• Dapat mengidentifikasi kerentanan yang sulit ditemukan melalui black box atau grey box.
• Proses pengujian lebih cepat dan mendalam.
• Cocok untuk audit keamanan menyeluruh.

Kekurangan:

• Tidak merepresentasikan serangan dunia nyata dari pihak luar.
• Membutuhkan kerja sama penuh dan kepercayaan dari pemilik sistem.
• Bisa menimbulkan bias karena pentester tahu semua detail.

Contoh:
Pentester diminta mengaudit aplikasi web internal, diberikan:

• Kode sumber (source code) aplikasi.
• Diagram arsitektur jaringan.
• Kredensial admin.
• Log server.

Dia kemudian:

• Melakukan code review untuk mencari celah seperti SQL injection atau XSS.
• Menguji konfigurasi server agar tidak ada port terbuka yang tidak perlu.
• Memastikan enkripsi data sesuai standar.

Analogi:
Seperti mencoba membobol rumah sambil memegang denah rumah, kunci semua ruangan, dan manual sistem keamanan.

Kesimpulan

• Black Box cocok jika ingin melihat bagaimana sistem bertahan dari serangan pihak luar yang benar-benar tidak punya akses.
• Grey Box cocok untuk mensimulasikan serangan dari orang dalam dengan hak terbatas.
• White Box cocok untuk audit keamanan menyeluruh dengan analisis mendalam.

Dalam praktik terbaik keamanan siber, perusahaan biasanya menggabungkan ketiganya secara berkala. Misalnya:

• Black box setahun sekali untuk menguji perimeter keamanan.
• Grey box setiap kali ada sistem baru yang di-deploy.
• White box saat melakukan audit tahunan atau sebelum aplikasi dirilis.