Udostępnij za pośrednictwem

Nie ufaj elementowi równorzędnym

  • Artykuł

"Nie ufaj elementowi równorzędnym" jest podstawową regułą zabezpieczeń, ale często jest pomijana. Nie zakładaj, że inna strona w komunikacji będzie działać prawidłowo i nie zakładaj, że twoja osoba równorzędna przekaże oczekiwane dane. MIDL i RPC przeprowadzają kontrole w Twoim imieniu, ale nie wszystkie kontrole.

Dowiedz się, który aspekt parametrów jest weryfikowany przez MIDL lub RPC i które aspekty należy zweryfikować samodzielnie. Na przykład w przypadku dojścia kontekstu w/wy RPC sprawdza, czy dojście kontekstu nie jest nieprawidłową wartością inną niż null. Zezwala na wartości null i prawidłowe wartości, ale wielu deweloperów nie zdaje sobie sprawy, że wartości null są przekazywane. Jest to coś do sprawdzenia.

Nawet jeśli ogólnie ufasz swojej komunikacji równorzędnej, pamiętaj, aby nie wprowadzać nowych ścieżek, za pomocą których naruszona maszyna lub konto podmiotu zabezpieczeń może atakować inne maszyny. Załóżmy, że użytkownik wybiera swoje urodziny jako hasło i odgadnie go osoba atakująca. Nawet po uwierzytelnieniu żądań od użytkownika i umożliwieniu dostępu do jego danych upewnij się, że luki w zabezpieczeniach umożliwiające wykorzystanie nie istnieją, takie przepełnienia stosu, które mogą umożliwić osobie atakującej przejęcie kontroli nad serwerem i rozszerzenie naruszenia zabezpieczeń.