Я не уверен, что это по теме или нет, но это настолько специфично для .NET WinForms, что я считаю, что здесь это имеет больше смысла, чем на сайте обмена стеками безопасности.

(Also, it's related strictly to secure coding, and I think it's as on-topic as any question asking about common website vulnerabilities that I see all over the site.)

В течение многих лет наша команда занималась моделированием угроз на веб-сайтах. Часть нашего шаблона включает в себяOWASP Топ-10 плюс другие известные уязвимости, поэтому, когда мы занимаемся моделированием угроз, мы всегда проверяем наличие документированного процесса устранения каждой из этих распространенных уязвимостей.

Пример:

SQL Injection (Owasp A-1)

Standard Practice Use Stored Parameterized Procedures where feasible for access to data where possible Use Parameterized Queries if Stored Procedures are not feasible. (Using a 3rd party DB that we can't modify) Escape single quotes only when the above options are not feasible Database permissions must be designed with least-privilege principle By default, users/groups have no access While developing, document the access needed to each object (Table/View/Stored Procedure) and the business need for access. [snip]

В любом случае, мы использовали OWASP Top 10 в качестве отправной точки для широко известных уязвимостей, характерных для веб-сайтов.

(Наконец к вопросу)

В редких случаях мы разрабатываем приложения WinForms или Windows Service, когда веб-приложение не соответствует потребностям. Мне интересно, существует ли эквивалентный список широко известных уязвимостей безопасности для приложений WinForms.

От головы до головы, я могу думать о нескольких ....

SQL Injection is still a concern. Buffer Overflow is normally prevented by the CLR, but is more possible if using non-managed code mixed in with managed code .NET code can be decompiled, so storing sensitive info in code, as opposed to encrypted in the app.config...

Существует ли такой список или даже несколько версий такого списка, из которого мы можем позаимствовать, чтобы создать свой собственный? Если так, где я могу найти это?

Я не смог его найти, но если он есть, он будет очень полезен для нас, а также для других разработчиков WinForms.