
Rich-Client Penetrationstests
Durchführung mehrerer Penetrationstests auf Applikationen. Darunter beispielsweise ein Java-Rich-Client zur Verwaltung von Binärdaten für Steuergeräte.
Die Aufgabenstellung
Ein Unternehmen aus der Mobilbranche verwendet zur Steuerung diverser Prozesse Rich-Clients. Da diese besonders kritisch für die Produktion sind, sollten diese im Rahmen eines Penetrationstests auf Applikationsebene auf Sicherheitslücken untersucht werden.
Unsere Herangehensweise
Nach der Vorbesprechung, wo die Ziele des Penetrationstests nochmal durchgesprochen und die Bedienung des Rich-Clients erläutert wurden, startete die Analyse. Es wurde sowohl die Kommunikation des Rich-Clients mit dem Applikationsserver untersucht, als auch mit Hilfe von Reverse-Engineering die Funktionsweise des Clients selbst.
Der Mehrwert für den Kunden
Die Überprüfung förderte mehrere Schwachstellen zu Tage, die zeigte, dass das Berechtigungsmanagement Schwachstellen aufwies. Auch Funktionen des digitalen Rechtemanagements (DRM) wiesen Probleme auf. Der Hersteller konnte diese Lücken anhand unserer detaillierten Beschreibung nachvollziehen und die Probleme angehen.