PENETRATIONSTESTS FÜR DESKTOP-ANWENDUNGEN
Penetrationstests für Desktop-Anwendungen: wo Ihre Anwendung mehr Rechte vergibt, als sie sollte
Tests von Desktop-Anwendungen für Windows, macOS und Linux, durchgeführt von Pentestern mit OSCP und OSED. Rechteausweitung, Geheimnisspeicherung, der Update-Mechanismus und die Backend-Kommunikation.
WARUM ES WICHTIG IST
Ein Thick Client hat Systemzugriff, den ein Browser nicht hat
Eine Desktop-App installiert sich auf der Workstation des Nutzers und läuft oft mit erhöhten Rechten. Ein Fehler darin kann einem Angreifer die Kontrolle über den ganzen Rechner geben, nicht nur über eine Browser-Session.
In einem Test: Eine App lud Updates über eine unverschlüsselte Verbindung und prüfte die Dateisignatur nicht. Ein Angreifer im selben Netzwerk konnte eine eigene Datei unterschieben und Remote Code Execution auf der Workstation erreichen. Die Update-Funktion wurde zum Einstieg.
WAS WIR PRÜFEN
Von der Binärdatei auf der Platte bis zum Server, mit dem sie spricht
Den Umfang passen wir an die Technologie der App und das System an, auf dem sie läuft.
UNSER ANSATZ
Wir analysieren die Binärdatei und beobachten die App im Betrieb
Wir kombinieren statische Analyse von Binärdateien und Konfiguration mit dynamischer Beobachtung der App auf einem laufenden System. Wir prüfen nicht nur, was die App tut, sondern was sich mit Zugriff auf die Workstation mit ihr tun lässt.
Wir arbeiten nach PTES und NIST SP 800-115, daher ist das Ergebnis wiederholbar und dokumentiert. Jede Schwachstelle bestätigen wir mit einem funktionierenden Nachweis, nicht nur einer Tool-Warnung.
COMPLIANCE
Ein Test, der überall dort gefordert ist, wo die App sensible Daten verarbeitet
Desktop-Anwendungen in Banking, Industrie und Verwaltung unterliegen denselben Testpflichten wie die übrigen Systeme.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Prozess nach PTES
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Penetrationstests für Desktop-Anwendungen in der Praxis
Warum Thick-Client-Apps anders getestet werden
Eine Desktop-Anwendung wird auf dem Rechner des Nutzers installiert und verbindet sich oft direkt mit einer Datenbank oder Backend-Diensten. Ein Angreifer besitzt das vollständige Binary und kann es ohne Grenzen analysieren, was bei einer hinter einem Server verborgenen Webanwendung unmöglich ist.
Deshalb gehen wir davon aus, dass der Client in den Händen eines Gegners ist. Wir prüfen, was die App lokal speichert, wie sie sich gegenüber dem Server authentifiziert und wie viel Vertrauen sie unbewusst in Code legt, der auf dem Rechner des Nutzers läuft.
Was wir in einer Desktop-Anwendung analysieren
Wir analysieren Binärdateien und Bibliotheken, in Dateien, Registry und Speicher geschriebene Daten sowie die Kommunikation mit Server und Datenbank. Wir suchen nach eingebetteten Zugangsdaten, schwacher Kryptografie und Konfigurationen, die sich zugunsten des Angreifers austauschen lassen.
Wir beobachten die App auch in Aktion: Wir fangen Verkehr ab, ändern Anfragen und prüfen, ob kritische Logik wirklich serverseitig ausgeführt wird. Viele Desktop-Apps vertrauen lokal getroffenen Entscheidungen, eine klassische Schwachstellenquelle.
Der häufigste Fehler: dem Client vertrauen
Die gefährlichsten Schwachstellen entstehen durch Autorisierung und Validierung auf dem Client. Wenn die App entscheidet, was der Nutzer darf, genügt es, ihr Verhalten oder eine Anfrage zu ändern, um die Einschränkungen zu umgehen.
Wir prüfen auch unsichere Interprozesskommunikation, Rechteausweitung und die Art der Selbstaktualisierung. Ein Update-Mechanismus ohne Signaturprüfung kann eine gewöhnliche App in einen Lieferkanal für Schadcode verwandeln.
Was Sie im Bericht erhalten und wann Sie testen sollten
Der Bericht beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, zusammen mit einer Management-Zusammenfassung und Behebungsprioritäten. Wir weisen auch darauf hin, welche Logik auf den Server gehört, um eine ganze Fehlerklasse dauerhaft zu schließen.
Eine Desktop-App sollten Sie vor dem Rollout und nach Änderungen an Authentifizierung, Datenbankanbindung oder Update-Mechanismus testen. Nach den Korrekturen führen wir einen Retest durch und bestätigen, dass die Lücken geschlossen sind.
FAQ
Die häufigsten Fragen
Welche Systeme testen Sie?
Brauchen Sie den Quellcode?
Testen Sie auch den App-Server?
Ist der Retest inklusive?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















