در تست نفوذ جعبه ی خاکستری (Gray Box or Crystal Box Peneteration Test) كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم ميتوانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مينمايد. یک اشتباه رایج در میان کارشناسان و مدیران این است که تست نفوذ صرفا به معنای تست نفوذ از خارج سازمان به شبکه ی داخلی می باشد و اگر دسترسی به داخل شبکه به نفوذگر داده شود عملا دیگر تست نفوذ معنایی ندارد و این فرایند تبدیل به ارزیابی آسیب پذیری) (Vulnerability Assessment می شود.
آیا تا به حال برای شما پیش آمده است که با شرکتی قرارداد تست نفوذ منعقد کرده باشید و در نهایت گزارشی را دریافت کنید که در آن تنها لیست آسیب پذیری های به روز نشده را که توسط انواع ابزارهای امنیتی و به طور خودکار شناسایی شده است را دریافت کرده باشید؟ اگر این گونه است باید بگویم که شما در این موضوع تنها نیستید! این مشکل در بازار خدمات تست نفوذ بسیار شایع است به طوری که بسیار از شرکت ها در خدمات خود تست نفوذ را به مشتریان ارائه می دهند اما در نهایت چیزی که مشتریان آنها در این خدمات دریافت می کنند ارزیابی آسیب پذیریست و نه تست نفوذ! در این مقاله سعی شده است تا تفاوت این دو خدمت به تفصیل شرح داده شود تا بتوانید بهترین سرویس دهنده را جهت رفع نیاز های خود انتخاب نمایید.
