1、黑盒测试意味着测试人员是在对目标系统一无所知的状态下进行测试工作，目标系统对测试人员来说就像一个“黑盒子”。除了知道目标的基本范围之外，所有的信息都依赖测试人员自行发掘。而目标系统上往往会开启监控机制对渗透过程进行记录，以供测试结束后分析。也就是说虽然黑盒测试的范围比较自由和宽泛，但是仍需要遵循一定的规则和限制。 黑盒测试能够很好的模拟真实攻击者的行为方式，让用户了解自己系统对外来攻击者的真实安全情况。

2、白盒测试与黑盒测试不同，白盒测试开始之前测试人员就已经从目标公司获得了足够的初始信息，例如网络地址段、使用的网络协议、拓扑图、应用列表等等。相对来说，白盒测试更多的被应用于审核内部信息管理机制，测试人员可以利用掌握的资料进行内部探查，甚至与企业的员工进行交互。对于发现现有管理机制漏洞以及检验社交工程攻击可能性来说，白盒测试具有非凡的意义。