Rich-Client Pentests

Penetrationstests für Rich-Clients

Anwendungen, die deine Geschäftsprozesse schon lange unterstützen, oder Spezialaufgaben erfüllen müssen, werden häufig noch nativ entwickelt. Meist haben diese erhöhte Sicherheitsanforderungen, da diese kritische Aufgaben übernehmen.

Dabei können wir Pentests für verschiedene Arten von Rich-Clients auf unterschiedlichen Plattformen durchführen. Dazu zählen sowohl Byte-Code Anwendungen wie mit Java oder .NET - egal auf welchem Betriebssystem diese laufen sollen, aber auch nativ kompilierte Anwendungen für Windows und Linux (x86 und x64) prüfen wir für dich.

Pentest

Die Feuerprobe für deine Anwendung

Wir denken wie echte Angreifer und simulieren die selben Angriffsszenarien, die auch in der Realität genutzt werden. Im Rahmen von unseren Rich-Client Penetrationstests, manchmal auch Thick-Client oder Fat-Client Penetrationstst, nutzen wir Maßnahmen des Reversings durch dynamische Analysen (z.B. Debugging), wie auch statische Analysen (z.B. mit IDA Pro oder Byte-Code Analyzern). Außerdem analysieren wie die Kommunikationswege - auch wenn du proprietäre Protokolle verwendest, finden wir einen Weg. Wir adaptieren für unseren Rich-Client Pentest Industriestandards wie die OWASP API Security Top Ten und integrieren natürlich auch die relevanten Bereiche des Application Security Verification Standard.

Wissen was zu tun ist

Mit unseren detaillierten Berichten erklären wir dir und deinem Team, welche Sicherheitslücken vorhanden sind, welche Auswirkungen diese in der realen Welt haben und - am wichtigsten - welche konkreten Maßnahmen umgesetzt werden müssen, um sicher zu sein. Der Einfachheit halber klassifzieren wir die Schwachstellen in fünf Stufen: Von Kritisch bis Information. Somit erhältst du sofort einen Überblick, wo du am ehesten ansetzt kannst. CVSS-Scores und CWE-Kategorien fügen wir dir gerne ergänzend hinzu. Den Bericht gehen wir mit dir im Rahmen einer Abschlusspräsentation durch - dein Team und du sollen wirklich verstehen, was die Ergebnisse bedeuten und was zu tun ist.

Anpassung an deine Bedürfnisse

Im Rahmen der Erstberatung gehen wir die Bedürfnisse ein. Wir klären was die Ziele des Penetrationstests auf deinen Rich-Client sind und welchen Umfang dieser haben darf. Wir sprechen mit dir durch, wie das Test-Setup aussehen darf, damit wir deine Ziele erreichen - dies kann von der einfachen Übermittlung der Programmdateien gehen, bis hin zu virtuellen Maschinen, die du uns (gerne auch per VPN) bereitstellt. Außerdem planen wir mit dir die Termine zum Anschalttest und zum Kick-Off: damit gehen wir sicher, dass alles für den Pentest bereit ist und du den maximalen Nutzen bekommst.