Pentest: Fat-Clients

Schützen Sie Ihre nativen Anwendungen

Unsere Leistungen für Unternehmen und Hersteller

Viele Unternehmen setzen für verschiedene interne und externe Business-Funktionen so genannte Fat-Clients ein, welche häufig in den Sprachen C/C++, .NET oder Java  entwickelt sind und nativ auf dem Betriebssystem laufen, aber nicht über den Browser aufgerufen werden können. Diese Anwendungen sind häufig selbst entwickelt und können ein hohes Risiko für die Unternehmenssicherheit darstellen. Schwachstellen in Fat Clients werden oft übersehen, da sich der Pentest eines Fat Clients von dem einer Web-Anwendung deutlich in Hinsicht auf das Vorgehen zur Untersuchung unterscheidet.

Bei unserem Fat Client Pentest untersuchen unsere Security Analysten Ihre nativen Anwendungen auf Windows- und Unix-Systemen umfassend und identifizieren mögliche Einfallstore für Angreifer.

Häufige Schwachstellen sind beispielsweise: 

icon schwachstelle orange 003
  • Fehlende oder schwache Zugriffskontrolle (Broken Access Control)
  • Verwendung von IT-Komponenten mit bekannten Schwachstellen
  • Fehlende oder schwache serverseitige Rechteprüfung
  • Erweiterung der Benutzerrechte (Privilege Escalation)

Wie gehen wir vor?

Wir führen Pentests anhand einer einheitlichen Methodik  durch, die bei Fat Client Pentests um spezifische Elemente erweitert wird:

Der Pentest von Fat Clients erfordert ein großes Maß an technischer Expertise sowie tiefgreifendes Verständnis der eingesetzten Programmiersprache, wie z.B. C/C++, .NET oder Java. Bei der Untersuchung eines Fat Clients liegt unser Fokus besonders auf der Analyse des Datenverkehrs zwischen Client und Server und der korrekten Rechteprüfung auf Serverseite. Hierzu wird häufig ein eigener Client zur Kommunikation mit dem Server und als Proof of Concept entwickelt, um die identifizierten Angriffsvektoren zu verifizieren und auszunutzen.

 

Welche Überprüfungen sind Bestandteil?

Die folgenden Prüfungen sind unter anderem Bestandteil von Fat Client Pentests:

  • Überprüfung nach OWASP TOP 10 (bspw. Schwachstelle im Session Management)
  • Analyse des Verbindungsaufbaus zwischen Client und Server inklusive der verwendeten Funktionen
  • Analyse der Business- und Applikationslogik
  • Analyse von Dateien und Registry-Einträgen die von der Applikation erzeugt werden
  • Überprüfung der Architektur des Clients
icon symbol orange 007 2

Optional führen wir, abhängig von der Programmiersprache, bei kritischen Anwendungen Code Reviews durch. Hierbei untersuchen wir den Quelltext auf Sicherheitslücken und ermöglichen so eine äußerst tiefgehende Analyse. Zudem prüfen wir dabei die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices.

usd pentest webseite IV 1

Können Angreifer in Ihre Systeme eindringen?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Fat Clients von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE