Le applicazioni RCP e RAP sono in genere create utilizzando il pacchetto Eclipse E4 Tool. Potrebbero esserci casi di test univoci per il sistema operativo sottostante di destinazione: Eclipse gira su OS X, Linux, Windows e alcuni altri SO. Innanzitutto, ottieni il pacchetto Delta: link
Il pacchetto Delta contiene tutte le risorse specifiche della piattaforma dall'SDK e viene utilizzato per le esportazioni multipiattaforma di applicazioni RCP. Se sai come installare un nuovo software su Eclipse ("Guida", "Installa nuovo software", "Aggiungi"), quindi inserisci quanto segue nel campo Ubicazione:
http://download.eclipse.org/e4/updates/0.17
Dopo che hai una piattaforma stabile e sai come creare e modificare applicazioni RCP e RAP utilizzando E4 e le descrizioni delle tecnologie circostanti, sei sulla buona strada per sapere come pentestare queste app. Molti riguarderanno solo Eclipse e pochi chiameranno un file sul sistema operativo o su una rete. Se lo fanno, puoi sfruttare molti strumenti di test della penna già esistenti Java come Javasnoop , JDB, JSwat, DSer , disordinato (per XML), et al.
La cosa più vicina che riesco a trovare in un'applicazione RAP sarebbe qualcosa come Oracle Forms. Ecco un blog post che descrive tre modi per scegliere come target un'app Oracle Forms che utilizza HTTP o TLS. Il blog consiglia Javasnoop per altre attività più flessibili. Ecco altri casi d'uso per Javasnoop:
Per le porzioni non Java di un pen test RAP, come ad esempio Javascript, potresti voler dare un'occhiata a retire.js (uno strumento simile a OWASP Dependency Check che può essere usato per analizzare i componenti Javascript di terze parti per vulnerabilità note) o Fortify SCA (un buon motore di analisi statica basato sulla sicurezza che funziona con il codice Javascript).