Не доверяй своему сверстнику
"Не доверяй своему коллеге" — это базовое правило безопасности, но оно часто упускается из виду. Не предполагайте, что другая сторона в обмене данными будет вести себя правильно, и не предполагайте, что ваш коллега будет передавать ожидаемые данные. MIDL и RPC выполняют некоторые проверки от вашего имени, но не все проверки.
Узнайте, какой аспект параметров проверяется MIDL или RPC, а какие аспекты необходимо проверить самостоятельно. Например, для дескрипторов контекста в/в режиме ожидания RPC проверяет, что дескриптор контекста не является недопустимым значением, не равным NULL. Он допускает значения NULL и допустимые значения, но многие разработчики не знают, что значения NULL пропускаются. Это то, что нужно проверка.
Даже если вы обычно доверяете своему коллеге, не вводите новые пути, с помощью которых скомпрометированный компьютер или основная учетная запись может атаковать другие компьютеры. Представьте, что пользователь выбирает свой день рождения в качестве пароля, и злоумышленник угадывает его. Даже после проверки подлинности запросов от пользователя и разрешения доступа к его данным убедитесь, что уязвимости, доступные для использования, не существуют, такие стеки переполнены, что может позволить злоумышленнику получить контроль над сервером и расширить брейки безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по