Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
"No confiar en el mismo nivel" es una regla de seguridad básica, pero a menudo se pasa por alto. No suponga que la otra parte de una comunicación se comportará correctamente y no suponga que el mismo nivel pasará los datos que espera. MIDL y RPC realizan algunas comprobaciones en su nombre, pero no todas las comprobaciones.
Conozca qué aspecto de los parámetros se comprueban mediante MIDL o RPC, y qué aspectos debe comprobar usted mismo. Por ejemplo, para los identificadores de contexto de entrada y salida, RPC comprueba que el identificador de contexto no es un valor no null no válido. Permite valores NULL y valores válidos, pero muchos desarrolladores no saben que los valores NULL se dejan pasar. Esto es algo que se debe comprobar.
Incluso si generalmente confía en el mismo nivel, asegúrese de no introducir nuevas rutas de acceso por las que una cuenta de entidad de seguridad o máquina en peligro puede atacar a otras máquinas. Imagine que un usuario elige su cumpleaños como contraseña y lo adivina un atacante. Incluso después de que se autentiquen las solicitudes del usuario y se permita el acceso a sus datos, asegúrese de que las vulnerabilidades que se puedan aprovechar no existen, tales saturaciones de pila que pueden permitir que un atacante tome el control del servidor y amplíe la vulneración de seguridad.