Tests d’intrusion avancés - Autres types d'applications
Certaines applications utilisent des clients lourds (ou clients riches). Ces clients, par opposition aux "clients légers", sont souvent développés spécialement pour répondre à un besoin particulier, et proposent une interface évoluée.
- Faiblesses dans le processus d'authentification
- Faiblesses dans la gestion de la session
- Problèmes de gestion de la logique métier
- Diverses attaques d'injection
- Etc.
Les mêmes types de problèmes seront vérifiés que pour les applications web. Par exemple :
Cependant, les moyens techniques à mettre en œuvre pour tester ces problèmes dans ce contexte technologique sont assez différents. CheckMates utilise une méthodologie développée par ses soins. En voici une vue macroscopique :
Note : Ces techniques se basent sur des outils peu courants, dont certains développés en interne. Elles ont été utilisées à de nombreuses reprises dans le cadre de pentests sur des clients lourds (JAVA, RMI, CORBA, .NET, PowerBuilder, binaires natifs, etc.)