Skip to content
Applikationen

Rich-Client Applikationen

Untersuchung von Desktopanwendungen (C#, .NET und weitere Programmiersprachen) auf Fehlkonfigurationen und Schwachstellen.

Prüfumfang des Pentests

Unsere Experten testen Ihre Desktopanwendung auf typische Schwachstellen im Konfigurationsmanagement, der Kommunikation mit Backendsystemen sowie generell im Quelltext. Der Test kann bei Ihnen vor Ort oder von Remote aus stattfinden.

Beispielhafte Prüfobjekte:

2-TIER Architektur

Desktopanwendung in einer 2-Tier-Architektur bestehend aus der Clientseite (Frontend, Rich-Client-Anwendung) sowie der Serverseite (Backend, Datenbank).

3-TIER Architektur

Desktopanwendung in einer 3-Tier-Architektur bestehend aus der Clientseite (Frontend, Rich-Client-Anwendung), der Applikationslogik (Middleware, API) sowie der Serverseite (Backend, Datenbank).

KONTAKTAUFNAHME
39%

In 39% der Fälle ist Angreifern unauthorisierter Applikationszugriff möglich. ¹

16% aller Systeme können vollständig kompromittiert werden. ¹

Penetrationstest von Rich-Client Applikationen

Unser Vorgehen

Der hier vorgestellte Penetrationstest beinhaltet eine umfassende Sicherheitsanalyse Ihrer Rich-Client Anwendung auf Netzwerk- und Anwendungsebene. 

Hierbei stellen Sie uns in der Regel einen Zugang zu einer VDI/VM oder einem Clientgerät bereit, auf dem die Desktopanwendung bereits installiert und verwendet werden kann. Alternativ, wenn technisch möglich, stellen Sie uns das Installationsprogramm und alle erforderlichen Konfigurationsdateien zur Verfügung, um den Rich Client auf unserer eigenen Hardware/Infrastruktur zu betreiben.

Aus der Sichtweise eines Angreifers mit Zugriff auf die Desktopanwendung untersuchen wir die Anwendung auf typische Fehlkonfigurationen und Schwachstellen aus den Bereichen:

  • Unsichere Speicherung von sensitiven Daten (Konfiguration- und Zugangsdaten auf der lokalen Festplatte oder im Quelltext)
  • Authentifizierung und Session Management
  • Autorisierung und Berechtigungskonzept
  • Kommunikationsverschlüsselung (Client <> API <> Backend)
  • Eingabevalidierung
  • Schwachstellen im unmittelbaren Quelltext (Reverse Engineering)
  • Möglichkeiten zum KIOSK-Breakout, falls eingesetzt
  • Möglichkeiten für DLL-Sideloading während der Ausführung oder Installation
  • und viele weitere Testinhalte

Während des Penetrationstests überprüfen wir den gesamten Lebenszyklus Ihrer Desktopanwendung, beginnend von der Installation auf der Clientseite bis hin zur Kommunikation mit einer API-Middleware und den Backendsystemen.

christopher-gower-m_HRfLhgABo-unsplash

Desktopanwendung bieten ein hohes Gefahrenpotenzial, da die Anwendung und Kommunikation auf einem Endgerät abläuft bzw. initiiert wird, welches tendenziell unter der Kontrolle eines Angreifers steht.

Unsere Erfahrungen zeigen, dass insbesondere 2-TIER-Architekturen besonders anfällig gegenüber Rechteausweitungen (Privilege Escalations) sind. Darüber hinaus werden Rich-Clientanwendung häufig auf nicht gehärteten Client-Endgeräten oder RDP-Umgebung betrieben, welche ein einfaches Ausbrechen und Kompromittierung von IT-Systemen und Daten ermöglichen.

ZUM KONFIGURATOR

Standards und Qualifikationen

Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.

Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.

Quellenverzeichnis

1  - https://www.ptsecurity.com/ww-en/analytics/web-vulnerabilities-2020/

Konfigurator starten
Kontaktformular