EN ID TH
Pengujian Penetrasi → Thick Client

Pengujian Penetrasi Thick Client

Penetration testing thick client tersertifikasi CREST untuk aplikasi desktop, melingkup local storage, komunikasi, autentikasi, kriptografi, dan risiko reverse engineering.

Aplikasi thick client, platform trading desktop, workstation perbankan, sistem rekam kesehatan, software industrial control, tetap menjadi tulang punggung banyak environment yang teregulasi. Aplikasi thick client juga kurang dipahami dari sudut pandang keamanan, sering kali mengandalkan asumsi yang sudah tidak berlaku: bahwa pengguna dapat dipercaya, bahwa jaringan bersifat internal, bahwa binary tidak dapat diperiksa.

Pengujian thick client menggabungkan analisis statis terhadap binary, analisis dinamis terhadap aplikasi yang berjalan, dan inspeksi protokol komunikasi yang digunakannya untuk berkomunikasi dengan layanan backend. Environment umum melingkup .NET (WPF / WinForms), Java (Swing / JavaFX), Electron, aplikasi native Windows / macOS / Linux, dan desktop Citrix-published.

Sebagian besar pengujian thick client pada akhirnya mengungkap dua kategori risiko yang berbeda: kelemahan local-machine (data at rest, penyimpanan credential, jalur escalation) dan kelemahan tingkat protokol dalam bagaimana aplikasi berkomunikasi dengan server-nya (autentikasi, otorisasi, perlindungan replay).

Mengapa Hal Ini Penting

Risiko yang dihadapi organisasi Anda.

Asumsi sisi server diuji secara berbeda di sini

Thick client mengirimkan logika ke mesin pengguna. Apa pun yang diasumsikan sebagai "perilaku client tepercaya" dapat dimodifikasi oleh penyerang yang mampu menjalankan debugger-nya sendiri.

Protokol legacy sering bertahan

Backend thick client sering berjalan di atas protokol lama, TCP custom, SOAP usang, frame raw socket, dengan karakteristik keamanan yang tidak pernah ditinjau secara formal.

Ruang Lingkup & Cakupan

Yang kami uji.

Kontrol Aplikasi

  • Kelemahan local storage
  • Celah autentikasi
  • Kriptografi yang tidak tepat
  • Otorisasi yang tidak tepat (check sisi server dapat di-bypass dari client)
  • Eksposur data sensitif di memori atau disk

Runtime, Protokol & Build

  • Kelemahan protokol komunikasi
  • Komunikasi yang tidak aman
  • Misconfiguration keamanan
  • Komponen yang diketahui rentan
  • Eksposur reverse engineering
  • Logging yang tidak memadai
  • Integritas update / auto-update
Yang biasa kami temukan

Kelemahan yang secara konsisten muncul pada engagement seperti ini.

Dirangkum dari kategori temuan yang umum dihasilkan konsultan kami pada engagement sejenis. Tingkat keparahan dan frekuensi bervariasi sesuai lingkungan dan kematangan organisasi.

Logika client yang dipercaya

Otorisasi diterapkan hanya di client; check harga atau permission dilakukan di GUI namun tidak di server; fitur admin disembunyikan oleh UI tetapi dapat dijangkau via direct protocol message.

Credential dan token at rest

Credential yang di-cache di file lokal tanpa perlindungan, token di registry, credential embedded di binary untuk service account legacy.

Kelemahan protokol

Protokol custom tanpa perlindungan integritas, autentikasi yang toleran replay, TLS usang yang masih diterima pada saluran management.

Risiko saluran update

Auto-update melalui HTTP tanpa verifikasi signature, server update yang dapat dijangkau tanpa autentikasi, serangan downgrade dapat dilakukan.

Model Engagement

Jalur kerja terstruktur dan berbasis intelijen pada setiap engagement.

Setiap engagement mengikuti alur disiplin yang sama melalui platform Velocity, sehingga kualitas, ketertelusuran, dan pelaporan konsisten di seluruh tim.

Penetapan Ruang Lingkup

Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.

Pelaksanaan

Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.

Validasi

Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.

Pelaporan

Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.

Debrief & Retest

Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.

Standar & Kerangka Kerja

Dipetakan ke baseline yang diakui industri.

OWASP ASVS
OWASP Top 10
Panduan NIST
Panduan framework vendor (Microsoft, Oracle, Electron)
Pertanyaan yang Sering Diajukan

Pertanyaan umum dari calon klien.

Apakah Anda memerlukan source code? +

Membantu tetapi tidak diwajibkan. Pengujian thick client biasanya dilanjutkan hanya dari binary, disassembly, debugging, dan analisis protokol. Akses source mempercepat temuan untuk kategori static-code.

Apakah Anda juga akan menguji backend service? +

Biasanya ya, nilai pengujian client tanpa menguji sistem yang diajaknya berkomunikasi terbatas. Pengujian gabungan adalah standar.

Uji Pertahanan Anda dengan Pendekatan Adversarial Ofensif

Konsultasikan kebutuhan Pengujian Penetrasi berikutnya dengan konsultan tersertifikasi CREST kami.

Konsultasi dengan Pakar