相关疑难解决方法(0)

我不确定这是关于主题还是不在这里,但它是如此特定于.NET WinForms我相信它在这里比在Security stackexchange站点更有意义.

(此外,它与安全编码严格相关,我认为这与任何询问我在整个网站上看到的常见网站漏洞的问题一样.)

多年来,我们的团队一直在对网站项目进行威胁建模.我们的模板的一部分包括OWASP Top 10以及其他众所周知的漏洞,因此,当我们进行威胁建模时,我们始终确保我们有一个文档化的流程来解决每个常见漏洞.

例:

SQL注入(Owasp A-1)

• 标准实践
  • 在可行的情况下,尽可能使用存储的参数化过程来访问数据
  • 如果存储过程不可行,请使用参数化查询.(使用我们无法修改的第三方数据库)
  • 仅当上述选项不可行时才转义单引号
  • 必须使用最小特权原则设计数据库权限
  • 默认情况下,用户/组无权访问
  • 在开发过程中,记录每个对象所需的访问权限(表/视图/存储过程)以及访问的业务需求.
  • [剪断]

无论如何,我们使用OWASP Top 10作为网站特有的众所周知的漏洞的起点.

(最后到了问题)

在极少数情况下,当Web应用程序无法满足需求时,我们会开发WinForms或Windows Service应用程序.我想知道是否有一个等效的WinForms应用程序安全漏洞列表.

在我的头顶,我可以想到一些....

• SQL注入仍然是一个问题.
• CLR通常会阻止缓冲区溢出,但如果将非托管代码与托管代码混合使用,则更有可能
• .NET代码可以反编译,因此将敏感信息存储在代码中,而不是在app.config中加密...

是否有这样的列表,甚至是这样一个列表的几个版本,我们可以从中借用来创建自己的列表？如果是这样,我在哪里可以找到它？

我一直无法找到它,但如果有的话,对我们以及其他WinForms开发人员来说将是一个很大的帮助.