不信任对等方

“不信任你的对等方”是一个基本的安全规则，但它经常被忽视。 不要假定通信中的另一方的行为正常，并且不要假定对等方将传递预期数据。 MIDL 和 RPC 代表你执行一些检查，但并非所有检查。

了解 MIDL 或 RPC 验证参数的哪些方面，以及必须自行验证哪些方面。 例如，对于 in/out 上下文句柄，RPC 验证上下文句柄不是无效的非 null 值。 它允许 null 值和有效值，但许多开发人员不知道 null 值是允许通过的。 这是要检查的内容。

即使你通常信任对等方，也请务必不要引入受攻击的计算机或主体帐户可能会攻击其他计算机的新路径。 假设用户选择生日作为他的密码，攻击者猜到它。 即使在对用户发出的请求进行身份验证并允许访问其数据后，请确保不存在可利用的漏洞，此类堆栈溢出可能会允许攻击者控制服务器并扩展安全漏洞。