Las pruebas de caja blanca tienen varios nombres diferentes, que incluyen pruebas de caja transparente, de caja abierta, auxiliares y basadas en lógica. Cae en el extremo opuesto del espectro de las pruebas de caja negra: los evaluadores de penetración tienen acceso completo al código fuente, la documentación de la arquitectura, etc. El principal desafío con las pruebas de caja blanca es analizar la enorme cantidad de datos disponibles para identificar posibles puntos débiles, lo que lo convierte en el tipo de prueba de penetración que consume más tiempo.
A diferencia de las pruebas de caja negra y caja gris, los probadores de penetración de caja blanca pueden realizar análisis de código estático, lo que hace que la familiaridad con los analizadores de código fuente, depuradores y herramientas similares sea importante para este tipo de prueba. Sin embargo, las herramientas y técnicas de análisis dinámico también son importantes para los evaluadores de caja blanca, ya que el análisis estático puede pasar por alto las vulnerabilidades introducidas por la configuración incorrecta de los sistemas de destino.
Las pruebas de penetración de caja blanca proporcionan una evaluación integral de las vulnerabilidades internas y externas, lo que las convierte en la mejor opción para las pruebas de cálculo. La estrecha relación entre los pentesters de caja blanca y los desarrolladores proporciona un alto nivel de conocimiento del sistema, pero puede afectar el comportamiento de los testers, ya que operan en base a conocimientos que no están disponibles para los piratas informáticos.
