Fat Client Pentesting: Hands-On Decompilation & Exploitation - Gastvorlesung an der Hochschule München

28. Juni 2024

Am vergangenen Dienstag war die usd zum zweiten Mal an der Hochschule München im Rahmen der Ringvorlesung „IT-Sicherheit“ zu Gast. Unser Kollege Merten Nagel, Managing Consultant und Pentester aus dem usd HeroLab, gab Studierenden eine Einführung in das Thema „Fat Client Pentesting“ mit anschließender Praxisaufgabe.

"Um den Studierenden einen praxisnahen Einblick in unseren Berufsalltag zu geben, habe ich mich für einen Hands-On Workshop entschieden. Denn selbst Ausprobieren und Testen ist auch beim Pentesting eines der besten Mittel zum Lernen."

Merten Nagel

Der Workshop begann mit einem Einblick in die Grundlagen. Dafür wurden zum Beispiel Fragen geklärt wie: Was ist ein Fat Client? Was sind die häufigsten Schwachstellen? Und wie läuft ein Pentest ab? Allgemein handelt es sich bei Fat Clients um Desktop-Anwendungen, die für Angreifer ein lohnendes Ziel sein können. Denn Schwachstellen in diesen Anwendungen ermöglichen unautorisierten Zugriff auf die serverseitige Business-Logik der gesamten Anwendungslandschaft eines Nutzers, inklusive aller dort gespeicherten Daten. Mit Fat Client Pentests können diese Schwachstellen proaktiv identifiziert und anschließend rechtzeitig behoben werden.

Nachdem die Grundlagen geklärt waren, stellten sich die Studierenden ausgerüstet mit Pizza und Getränken der praktischen Aufgabe. Mit Hilfe von VuCSA, einer Java-Applikation zum Pentesten von Fat Clients, probierten sie die Methoden von Hackern selbst aus, indem sie eine SQL-Injection und Command Execution in einer bereitgestellten Applikation ausnutzten.

Beim gemeinsamen Ausklang hatten die Studierenden dann noch die Möglichkeit, Fragen zum Arbeitsalltag bei der usd AG zu stellen und sich in lockerer Atmosphäre auszutauschen. Damit die Security Community wachsen kann, sind unsere Kolleg*innen immer gerne an deutschen Hochschulen unterwegs und berichten aus unserem Arbeitsalltag als Cyber Security Professionals.

Auch interessant:

Security Advisory zu AXIS Webcam

Security Advisory zu AXIS Webcam

Die Pentest Professionals des usd HeroLabs haben während der Durchführung ihrer Pentests die AXIS Webcam (P1364) untersucht. Unsere Professionals entdeckten eine Sicherheitslücke (Cross-Site Request Forgery) im Adminpanel der AXIS P1364 Webcam. Das Ausnutzen dieser...

mehr lesen

Kategorien

Kategorien