White Box
Todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência.
Black Box
É o tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste.
Grey Box
Esse tipo de análise pode ser considerado um mix dos anteriores, pois o analista de teste recebe alguma informação do cliente, como: dados da infraestrutura da rede ou acesso à determinado serviço web.
Fonte: http://www.auzac.com.br/testes-de-invasao/tipos-de-pentest/
Gabarito: B
As categorias descrevem, com base na taxonomia do processo de teste, como é a base de informações possuída para a execução do mesmo. O modelo dos testes é categorizado então em white-box, gray-box e black-box.
White-box descreve o modelo de teste no qual o tester detém o completo conhecimento sobre a infraestrutura a ser testada, como discutido em [34] e [45].
Black-box, em contraponto, assume que não há nenhum conhecimento a priori sobre o ambiente o qual se quer aplicar o teste. Nota-se que a maioria dos trabalhos, principalmente em torno de ferramentas de descoberta de vulnerabilidade, executam testes do tipo black-box, como em [17], [48] e [59], por exemplo.
Já os testes que são do tipo gray-box representam o meio termo entre os categorizados anteriormente, onde a quantidade de informações a respeito do alvo não são totais mas também não são inexistentes. Entre os artigos analisados, [28] traz um exemplo de aplicação de teste gray-box.
Excelente trabalho sobre o tema abordado, segue a fonte abaixo:
http://www.pucrs.br/facin-prov/wp-content/uploads/sites/19/2016/03/tr084.pdf