Vulnerabilidades y amenazas a aplicaciones de Windows no basadas en la Web

Como señaló Sachin Kumar, probablemente deberías comenzar a hacer un poco de Modelado de amenazas. El recurso principal a este respecto es el libro / recurso del ciclo de vida del desarrollo de la seguridad de Microsoft. Esto no significa que esto solo se aplique a los entornos o software de Microsoft. De hecho, es una metodología muy genérica que funciona bastante bien para cualquier tipo de aplicación. La Threat Modeling Tool en sí no es realmente necesaria. Simplemente ayuda a juntar los datos. Sin embargo, me resulta más fácil usar lápiz y papel, a menos que sea una configuración extremadamente compleja.

La idea (muy brevemente) detrás de esta metodología es, en primer lugar, trazar Data Flows , usando un DFD ( Data Flow Diagram ), y luego aplicar STRIDE clasificación de amenazas para cada componente del DFD. Una vez que hizo eso, y realmente pensó cuidadosamente cada amenaza potencial, ya debería darle una idea bastante clara de cuáles son los principales problemas y podría ayudarlo a concentrarse en lo que debe buscar. También puede usar DREAD para calificar esos problemas en términos de prioridad / riesgo. Aunque si tienes algo de experiencia, sabrías la calificación casi instintivamente. DREAD es un poco demasiado detallado para la mayoría de los casos de todos modos.

La prueba real de vulnerabilidades o problemas reales puede ser el siguiente paso, pero depende del entorno y del conjunto de habilidades involucradas para realizarlo. Otro enfoque que puede darle mucho valor agregado es hacer una revisión del código de seguridad (si tiene acceso al código). O si tiene algunas herramientas de análisis de código de seguridad estática , estas también pueden ayudar mucho.

En términos de SQL específicamente, siempre tendrá inyecciones como un vector de amenaza. En el host o en la red (si no hay encriptación), pueden manipular los datos para una inyección de SQL o cualquier tipo de ataque de escalado, desbordamiento de búfer, etc. El problema principal es que está recibiendo datos y debe asegurarse de que su código haga algo. Saneamiento o lista blanca.

También puede consultar las guías de fortalecimiento, como las del Center for Internet Security: enlace

Las directrices de inyección de OWASP SQL aún se aplican incluso si no es una capa web.

  

La aplicación Win se conecta a la base de datos a través de una cadena de conexión que pasa las credenciales apropiadas para acceder a esa base de datos en particular.

Diría que desearía determinar si esta conexión está encriptada o no, o cómo se protegen las credenciales. Es posible que también desee crear un perfil del servidor SQL en términos de si los parches están actualizados, si los datos en la base de datos están almacenados con suficiente seguridad: la PII se almacena encriptada, ofuscada, truncada o tokenizada, etc.

Parece que es posible que desee centrarse en las amenazas a un servidor MS SQL en lugar de la aplicación específica para comenzar. Desde el punto de vista de la aplicación, ¿puede un usuario elevar sus privilegios o establecer consultas que filtren información más allá de sus privilegios?