Grey-box testing is een type beveiligingstest waarbij de tester enige kennis heeft van het te testen systeem of netwerk, maar niet volledig op de hoogte is van de interne werking.
Bij grey-box testing heeft de tester enige voorkennis van het systeem of netwerk, bijvoorbeeld toegang tot bepaalde gebruikersaccounts of informatie over de architectuur van het systeem. Deze beperkte kennis stelt de tester in staat om gerichter te testen en mogelijk kwetsbaarheden te identificeren die niet direct zichtbaar zouden zijn bij blackbox testing.
Het doel van grey-box testing is om de beveiliging van het systeem te testen en eventuele kwetsbaarheden of zwakke punten te identificeren, terwijl tegelijkertijd de realistische context van een potentiƫle aanval wordt nagebootst. De tester maakt gebruik van verschillende tools en technieken om zwakke punten in het systeem te identificeren, zoals netwerkscans, kwetsbaarheidsscans en penetratietesten.
De resultaten van grey-box testing worden meestal aan de organisatie gepresenteerd in de vorm van een rapport, waarin de gevonden kwetsbaarheden worden beschreven en aanbevelingen worden gedaan voor hoe deze kunnen worden aangepakt.
Over het algemeen kan grey-box testing een effectieve methode zijn voor het testen van de beveiliging van een systeem of netwerk, aangezien het de tester in staat stelt om gerichter te testen en eventuele kwetsbaarheden te identificeren die anders mogelijk over het hoofd zouden worden gezien.