¿Cuando se realiza una auditoría de seguridad del propio sitio, uno de estos métodos de prueba generalmente se considera mejor? ¿Perdería mi tiempo haciendo pruebas de Blackbox cuando tenga acceso a la información sobre el sistema subyacente o hay beneficios en la prueba de Blackbox de su propio sitio?
La prueba de Blackbox da la perspectiva de un atacante externo, mientras que la prueba de la caja blanca generalmente brinda la perspectiva de un atacante interno. Esas perspectivas tienen una gran intersección pero tienen coberturas exclusivas. Incluso las pruebas de la caja blanca tienden a ser más fáciles de hacer y suenan más efectivas (aunque no siempre es cierto, aunque a veces la caja blanca es mucho más difícil), las pruebas creadas por un atacante sin información interna tienden a seguir una ruta lógica que las pruebas de la caja inicial descartan, creando una posibilidad de superar una vulnerabilidad.
La seguridad es siempre un comercio de costo y beneficio. Debe poner en equilibrio la posibilidad y la cantidad de daño de un ataque interno en comparación con el costo de las pruebas de la caja blanca. También haga lo mismo para un atacante externo y pruebas de caja negra. Teniendo en cuenta esta relación costo / beneficio, puede elegir uno de los enfoques o incluso ambos
Desde el contexto de su pregunta, asumo que este es su propio sitio, alojado por su propio servidor (es). Dirigiré mi respuesta en base a esa suposición, advirtiendo que si mi suposición es incorrecta, hágamelo saber para que pueda ampliar mi respuesta en consecuencia.
Como @Polaco dijo anteriormente, no hay ningún daño en las pruebas para ambos (si tiene los recursos para hacerlo). Para las aplicaciones, prefiero centrarme en los roles, en lugar de la nomenclatura "caja negra" frente a "caja blanca". Entonces, y esto es particularmente cierto para las aplicaciones web, tendré un rol de usuario anónimo, un rol de usuario autenticado y un rol de administrador. Estas funciones no son absolutas y se pueden ampliar o acortar en función de la complejidad de su aplicación. La prueba de múltiples roles puede ayudarlo a determinar el riesgo en diferentes capas.
No creo que nunca "pierdas" el tiempo probando la caja negra. Es solo que la caja blanca puede ser más beneficiosa si el tiempo es limitado.
Lea otras preguntas en las etiquetas web-application penetration-test