Não tenho certeza se isso está no tópico ou não aqui, mas é tão específico para .NET WinForms que acredito que faz mais sentido aqui do que no site Security stackexchange.

(Além disso, está relacionado estritamente acodificação segurae acho que é tão on-topic quanto qualquer pergunta sobre vulnerabilidades comuns de sites que eu vejo em todo o site.)

Durante anos, nossa equipe vem fazendo modelagem de ameaças em projetos de sites. Parte do nosso modelo inclui oOWASP As 10 primeiras mais outras vulnerabilidades conhecidas, de modo que, quando estamos fazendo a modelagem de ameaças, sempre nos certificamos de que temos um processo documentado para lidar com cada uma dessas vulnerabilidades comuns.

Exemplo:

Injeção de SQL (Owasp A-1)

Prática padrãoUse Procedimentos Parametrizados Armazenados onde for viável para acesso a dados onde possívelUse consultas parametrizadas se os procedimentos armazenados não forem viáveis. (Usando um banco de dados de terceiros que não podemos modificar)Escape aspas simples apenas quando as opções acima não são viáveisPermissões de banco de dados devem ser projetadas com princípio de privilégio mínimoPor padrão, os usuários / grupos não têm acessoDurante o desenvolvimento, documente o acesso necessário a cada objeto (Tabela / Visualização / Procedimento Armazenado) e a necessidade comercial de acesso.[recorte]

De qualquer forma, usamos o OWASP Top 10 como ponto de partida para vulnerabilidades comumente conhecidas específicas de sites.

(Finalmente para a pergunta)

Em raras ocasiões, desenvolvemos WinForms ou aplicativos de serviço do Windows quando um aplicativo da Web não atende às necessidades. Eu estou querendo saber se há uma lista equivalente de vulnerabilidades de segurança comumente conhecidas para aplicativos WinForms.

Fora do topo da minha cabeça, eu posso pensar em alguns ....

Injeção de SQL ainda é uma preocupação.O estouro de buffer normalmente é impedido pelo CLR, mas é mais possível se você usar código não gerenciado misturado com código gerenciadoO código .NET pode ser descompilado, portanto, armazenar informações confidenciais no código, em vez de criptografadas no app.config ...

Existe tal lista, ou até mesmo várias versões de tal lista, da qual podemos pedir emprestado para criar a nossa? Se sim, onde posso encontrá-lo?

Eu não fui capaz de encontrá-lo, mas se houver um, seria uma grande ajuda para nós, e também outros desenvolvedores do WinForms.