BHIS通过博客、HackNaked.TV、培训特别是网络研讨会开展大量推广活动。在推广过程中，我们常遇到两类客户：从未做过渗透测试的，以及做过测试但对结果不满意的。

当深入询问不满意的客户时，我们发现这些案例往往存在两个共同点：采用了黑盒测试，和/或更根本的——预期不匹配。

黑盒测试确实有其适用场景，例如：

• 新应用程序已在开发周期中内置安全审查
• 组织自行开展内部渗透测试
• 近期已完成灰盒或水晶盒测试
• 用于测试SOC或事件响应团队是否真正升级了问题

但如果上述情况均不适用，却决定将首次渗透测试设为黑盒测试，那么你实际上是在测试渗透测试员，而非测试目标。测试的协作程度越高，我们用于测试应用程序或目标的时间就越多；测试越接近黑盒，渗透测试员就需要花费更多时间在发现、猜测和探索上。

渗透测试员喜欢这种挑战，但这就引出了第二个问题：预期不匹配。当测试员因专注于客户并不真正关心的应用区域而遗漏问题时就会产生矛盾。以包含众多主机的网络渗透测试为例，测试员无法知晓应该优先测试哪些对客户更有价值或对组织风险更高的目标。

黑盒测试中另一个常见的预期不匹配问题涉及测试报告中的经验总结。多数测试仅持续一周，当测试目标或应用程序未获得应有重视时，测试结果可能无法真实反映该应用/目标在其他360天中面临的实际风险。

我们建议客户采用混合测试方案：第一阶段进行严格限时的黑盒测试，随后立即与客户召开会议获取额外信息，进入第二阶段的协作测试。这种方式能兼顾两种测试优势，生成结合双方特点的测试报告。

因此，如果考虑在下个项目中采用黑盒测试，请务必提前明确：你真正要测试的是什么？专业的渗透测试公司将根据你的目标帮助定义测试范围，并提供最大化测试时间和流程效率的建议。