IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Ziel des White-Box-Tests ist die Simulation einer Attacke mit Insiderwissen. Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Diese Sichtweise entspricht der Definition des BSI (M 5.150). Das OSSTMM setzt im Gegensatz dazu den White-Box-Text einem «Double Gray Box» Test gleich (siehe auch Grey Box).