В рамки моего проекта попал пентест windows приложения. Никогда не осуществлял его.
Если кто уже делал пентест windows приложений, поделитесь опытом. На что стоит обращать внимание? имеется ли тулз для автоматического тестирования и тд.
sim3x,
Провести оценку безопасности десктопных приложение(типа клиент-сервер) с расширением exe. Пока еще не получил всех деталей (к примеру: какая платформа, веб-сервер, база данных и тд)
В голову пришло:
1) потестировать передаваемые параменты с помощью burp-suite
2) fuzzing
3) bruteforce логин формы
Смотря что вы хотите получить в итоге...что приходит на ум:
1) изолированная среда - сетевые и хостовые IoC, что пишет в реестр, шедулер и т.п.
2) дебажить, декомпилировать
3) логин форма (если есть)
4) нагрузочное тестирование
5) далее зависит от платформы и задач
Пен Тест это "проникновение" за периметр доверия или безопансоти и.т.д. Наврное подразумевается что в данный момент ты (user) не можеш получить доступ к некоторым его ресурсам - Файлам ? Функциям ? Потокам данным по сети ? отсуюда и надо начинать.
