Nie jestem pewien, czy to jest na temat, czy nie, ale jest tak specyficzne dla .NET WinForm, że uważam, że ma to więcej sensu niż w witrynie Security stackexchange.

(Poza tym jest ściśle powiązany zbezpieczne kodowanie, i myślę, że to na temat, jak każde pytanie o typowe luki w zabezpieczeniach witryny, które widzę w całej witrynie.)

Od lat nasz zespół zajmuje się modelowaniem zagrożeń w projektach stron internetowych. Część naszego szablonu zawieraOWASP Top 10 plus inne dobrze znane luki w zabezpieczeniach, więc kiedy robimy modelowanie zagrożeń, zawsze upewniamy się, że mamy udokumentowany proces rozwiązywania każdej z tych typowych luk.

Przykład:

Wtrysk SQL (Owasp A-1)

Standardowa praktykaUżywaj zapisanych sparametryzowanych procedur tam, gdzie to możliwe, aby uzyskać dostęp do danych, jeśli to możliweUżyj sparametryzowanych zapytań, jeśli procedury przechowywane nie są możliwe. (Korzystanie z DB innej firmy, której nie możemy modyfikować)Unikaj pojedynczych cudzysłowów tylko wtedy, gdy powyższe opcje nie są możliweUprawnienia do bazy danych muszą być zaprojektowane z zasadą najmniejszych uprawnieńDomyślnie użytkownicy / grupy nie mają dostępuPodczas opracowywania udokumentuj dostęp do każdego obiektu (tabela / widok / procedura składowana) oraz potrzebę biznesową dostępu.[fantastyczna okazja]

W każdym razie wykorzystaliśmy OWASP Top 10 jako punkt wyjścia dla powszechnie znanych luk charakterystycznych dla witryn internetowych.

(Na koniec pytanie)

W rzadkich przypadkach tworzymy aplikacje WinForm lub usługi Windows, gdy aplikacja internetowa nie spełnia potrzeb. Zastanawiam się, czy istnieje odpowiednia lista powszechnie znanych luk w zabezpieczeniach aplikacji WinForm.

Z głębi głowy myślę o kilku ....

SQL Injection nadal stanowi problem.Przepełnienie bufora jest zwykle uniemożliwione przez CLR, ale jest bardziej możliwe, jeśli używa się niezarządzanego kodu zmieszanego z kodem zarządzanymKod .NET może zostać zdekompilowany, więc przechowuj poufne informacje w kodzie, w przeciwieństwie do szyfrowania w app.config ...

Czy istnieje taka lista, a nawet kilka wersji takiej listy, z której możemy pożyczyć, aby stworzyć własną? Jeśli tak, gdzie mogę to znaleźć?

Nie udało mi się go znaleźć, ale jeśli taki jest, to byłaby to dla nas wielka pomoc, a także dla innych programistów WinForm.