PENTEST: FAT CLIENTS

SCHÜTZEN SIE IHRE NATIVEN ANWENDUNGEN

WAS SIND EINFALLSTORE FÜR ANGREIFER?

Viele Unternehmen setzen für verschiedene interne und externe Business-Funktionen so genannte Fat-Clients ein, welche häufig in den Sprachen C/C++, NET. oder Java  entwickelt sind und nativ auf dem Betriebssystem laufen, aber nicht über den Browser aufgerufen werden können. Diese Anwendungen sind häufig selbst entwickelt und können ein hohes Risiko für die Unternehmenssicherheit darstellen. Schwachstellen in Fat Clients werden oft übersehen, da sich der Pentest eines Fat Clients von dem einer Web-Anwendung deutlich in Hinsicht auf das Vorgehen zur Untersuchung unterscheidet.

Bei unserem Fat Client Pentest untersuchen unsere Security Analysten Ihre nativen Anwendungen auf Windows- und Unix-Systemen umfassend und identifizieren mögliche Einfallstore für Angreifer.

 

HÄUFIGE SCHWACHSTELLEN SIND BEISPIELSWEISE:

 
 
  • Fehlende oder schwache Zugriffskontrolle (Broken Access Control)
  • Verwendung von IT-Komponenten mit bekannten Schwachstellen
  • Fehlende oder schwache serverseitige Rechteprüfung
  • Erweiterung der Benutzerrechte (Privilege Escalation)
 
 

 

WIE GEHEN WIR VOR?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Fat Client Pentests um spezifische Elemente erweitert wird:

Der Pentest von Fat Clients erfordert ein großes Maß an technischer Expertise sowie tiefgreifendes Verständnis der eingesetzten Programmiersprache, wie z.B. C/C++, .NET oder Java. Bei der Untersuchung eines Fat Clients liegt unser Fokus besonders auf der Analyse des Datenverkehrs zwischen Client und Server und der korrekten Rechteprüfung auf Serverseite. Hierzu wird häufig ein eigener Client zur Kommunikation mit dem Server und als Proof of Concept entwickelt, um die identifizierten Angriffsvektoren zu verifizieren und auszunutzen.

WELCHE ÜBERPRÜFUNGEN SIND BESTANDTEIL?

Die folgenden Prüfungen sind unter anderem Bestandteil von Fat Client Pentests:

  • Überprüfung nach OWASP TOP 10 (bspw. Schwachstelle im Session Management)
  • Analyse des Verbindungsaufbaus zwischen Client und Server inklusive der verwendeten Funktionen
  • Analyse der Business- und Applikationslogik
  • Analyse von Dateien und Registry-Einträgen die von der Applikation erzeugt werden
  • Überprüfung der Architektur des Clients
 

 
 

Optional führen wir, abhängig von der Programmiersprache, bei kritischen Anwendungen Code Reviews durch. Hierbei untersuchen wir den Quelltext auf Sicherheitslücken und ermöglichen so eine äußerst tiefgehende Analyse. Zudem prüfen wir dabei die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices.

 
 

 

KÖNNEN ANGREIFER IN IHRE SYSTEME EINDRINGEN?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Fat Clients von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontaktieren Sie uns