מהי קופסה אפורה?
מהי קופסה אפורה? תיבה אפורה מתייחסת לבדיקת תוכנה שבה יש ידע מוגבל על פעולתה הפנימית. בדיקת תיבה אפורה היא טכניקת פריצה אתית שבה על ההאקר להשתמש במידע מוגבל כדי לזהות את החוזקות והחולשות של רשת האבטחה של היעד.
מהי קופסה אפורה? – נקודות מרכזיות
הבנת תיבות אפורות
תיבה אפורה היא הכלאה של בדיקת קופסה לבנה, שבה הבוחן בוחן את ההיגיון והמבנה הפנימי של קוד התוכנה, ובדיקת קופסה שחורה, שבה הבוחן לא יודע דבר על קוד התוכנה. כדי להבין את בדיקת הקופסה האפורה, עלינו להבין תחילה את בדיקת הקופסה השחורה ובדיקת הקופסה הלבנה.
בדיקת קופסה שחורה ותיבה לבנה
בדיקת הקופסה השחורה מסתכלת על לא יותר מאשר תשומות של המשתמש ואיזה פלט התוכנה מייצרת בהינתן תשומות אלה. בדיקת הקופסה השחורה אינה דורשת כל ידע בשפת תכנות או פרטים טכניים אחרים. זהו סוג של בדיקות ברמה גבוהה המשמשים בבדיקות מערכות ובדיקות קבלה. מהנדסי תוכנה דורשים מסמך מפרט דרישות תוכנה (SRS) כדי לבצע בדיקות קופסה שחורה. בדיקה זו לוקחת פרספקטיבה של משתמש קצה כאשר בודק הקופסה השחורה אינו יודע כיצד הפלטים נוצרים מהקלט.
בדיקת הקופסה הלבנה דורשת ידע מעמיק של הטכניקות והפלטפורמות המשמשות לבניית תוכנה, כולל שפת התכנות הרלוונטית. זהו סוג של בדיקות ברמה נמוכה המשמשים בבדיקת יחידות ובדיקת אינדיקציות. מהנדסי תוכנה צריכים להבין את שפת התכנות המשמשת ליצירת האפליקציה כדי שיוכלו להבין את קוד המקור שלו. המטרות העיקריות של בדיקות הקופסה הלבנה הן לחזק את האבטחה, לבחון כיצד קלטות ותפוקות זורמות דרך האפליקציה, ולשפר את העיצוב והשימושיות. כאשר בודק קופסה לבנה אינו מקבל את הפלט הצפוי מקלט נתון, התוצאה נחשבת לבאג שיש לתקן.
כיצד פועלת בדיקת התיבה האפורה
בדיקת קופסה אפורה כוללת מרכיבים חשובים של בדיקת קופסא שחורה ולבנה כאחד כדי לקבל תוצאה טובה יותר ממה שכל אחד מהם יכול להשיג לבד. גם משתמשי קצה וגם מפתחים מבצעים בדיקות קופסא אפורה עם ידע מוגבל (חלקי) של קוד המקור של אפליקציה. בדיקת קופסה אפורה יכולה להיות ידנית או אוטומטית. זה מקיף יותר וגוזל יותר זמן מבדיקת קופסה שחורה, אבל לא מקיף או גוזל זמן כמו בדיקת קופסה לבנה. בודקי קופסא אפורה דורשים מסמכי עיצוב מפורטים.
בדיקת תיבה אפורה כוללת זיהוי תשומות, פלטים, נתיבים עיקריים ותת-פונקציות. לאחר מכן הוא עובר לפיתוח תשומות ויציאות עבור תת-פונקציות, ביצוע מקרי בדיקה עבור תת-פונקציות ואימות תוצאות אלו.
דוגמה לתיבה אפורה
בודק קופסה אפורה עשוי לבדוק ולתקן את הקישורים באתר. אם קישור לא עובד, הבוחן משנה את קוד ה-HTML כדי לנסות לגרום לקישור לעבוד, ואז בודק מחדש את ממשק המשתמש כדי לראות אם הקישור עובד. בודק קופסה אפורה עשוי גם לבדוק מחשבון מקוון. הבוחן יגדיר תשומות – נוסחאות מתמטיות כגון 1+1, 2*2, 5-4 ו-15/3 – ואז יבדוק שהמחשבון מספק את התפוקות הנכונות בהינתן התשומות הללו. לבודק התיבה האפורה יש גישה לקוד ה-HTML של המחשבון והוא יכול לשנות אותו אם מזוהות שגיאות כלשהן.
בדיקת התיבה האפורה בוחנת הן את ממשק המשתמש או את שכבת המצגת של היישום והן את פעולתו הפנימית, או הקוד. הוא משמש בעיקר בבדיקות אינטגרציה ובדיקות חדירה אך הוא אינו מתאים לבדיקת אלגוריתם. בדיקת תיבה אפורה משמשת בדרך כלל לבדיקת ממשק המשתמש, האבטחה או הפונקציונליות המקוונת של אפליקציה באמצעות טכניקות כגון בדיקת מטריצה, בדיקת רגרסיה, בדיקת מערך אורתוגונלי ובדיקת תבניות. בודקי קופסה אפורה נוטים לזהות בעיות ספציפיות להקשר.
"אפור" מתייחס ליכולת החלקית של הבוחן לראות את פעולתו הפנימית של האפליקציה. "לבן" מתייחס ליכולת לראות דרך ממשק התוכנה לפעולה הפנימית שלה, ו"שחור" מתייחס לחוסר היכולת לראות את פעולתה הפנימית של התוכנה. בדיקת קופסה אפורה נקראת לפעמים בדיקה שקופה, בעוד שבדיקת קופסה לבנה נקראת לפעמים בדיקה ברורה ובדיקת קופסה שחורה עשויה להיקרא גם בדיקה אטומה.
מהם היתרונות של בדיקת תיבה אפורה?
מכיוון שבדיקת קופסה אפורה נועדה להתבצע מנקודת המבט של משתמש או האקר, היא עשויה לחשוף פגמים חשובים בתוכנה שלא יהיו ברורים למפתח שניגש לבדיקה מנקודת מבט של פיתוח.
מי מבצע בדיקת תיבה אפורה?
גם מפתחים וגם בודקי אבטחה יכולים לבצע בדיקות קופסה אפורה. בדיקות White Box מבוצעות על ידי מפתחים ובודקים שמכירים היטב את הקוד המשמש לכתיבת התוכנה. בדיקת הקופסה השחורה מתבצעת על ידי בודקים שאינם צריכים לדעת את הקוד של התוכנה. בדיקת הקופסה האפורה היא הכלאה של השניים וניתן לערוך אותה על ידי מומחים המבצעים גם בדיקת קופסה לבנה וגם קופסה שחורה.
כיצד משתמשים בבדיקת תיבה אפורה באבטחת סייבר?
ניתן להשתמש בבדיקת תיבה אפורה כדי לראות איזה סוג של גישה יש למשתמש בעת כניסה לאתר או לאפליקציה, ולכן, כמה קל או קשה זה עשוי להיות למישהו לפרוץ לאתר עם אישורים דומים, או ללא אישורים כלשהם.
