"피어를 신뢰하지 마세요"는 기본 보안 규칙이지만 종종 간과됩니다. 통신의 상대방이 제대로 동작할 것이라고 가정하지 않으며 피어가 예상한 데이터를 전달할 것이라고 가정하지 마세요. MIDL 및 RPC는 사용자 대신 일부 검사를 수행하지만 일부 검사는 수행하지 않습니다.
MIDL 또는 RPC에서 확인되는 매개 변수의 측면과 직접 확인해야 하는 측면을 파악합니다. 예를 들어 내부/외부 컨텍스트 핸들의 경우 RPC는 컨텍스트 핸들이 잘못된 null이 아닌 값이 아닌지 확인합니다. Null 값과 유효한 값을 허용하지만 많은 개발자는 null 값이 통과된다는 것을 인식하지 않습니다. 이것은 확인해야 할 일입니다.
일반적으로 피어를 신뢰하더라도 손상된 컴퓨터 또는 주 계정에서 다른 컴퓨터를 공격할 수 있는 새 경로를 도입하지 않도록 해야 합니다. 사용자가 자신의 생일을 자신의 암호로 선택하고 공격자가 추측한다고 가정해 보겠습니다. 사용자의 요청이 인증되고 데이터에 대한 액세스가 허용된 후에도 공격자가 서버를 제어하고 보안 위반을 확장할 수 있는 스택 오버런과 같은 악용 가능한 취약성이 없는지 확인합니다.