Тестирование при котором нам ничего неизвестно о целевой системе, кроме адреса. Отвечает на вопрос: что может сделать атакующий со средними навыками и ограниченными ресурсами и временем?
Такое тестирование, как правило, раскрывает наиболее вероятные пути компрометации, но не позволяет выяснить "Насколько действительно хорошо защищены мои данные?".
Во время тестирования сперва проводится оценка уязвимости, определяются входные точки для атакующего. Затем эксплуатируются выявленные уязвимости. Поскольку у нас нет учетных данных к системе, некоторые участки, такие как логика приложения, система авторизации и аутентификации, могут остаться непокрытыми.
Плюсы этого метода в том, что это наиболее близкий сценарий к реальным кибератакам.