針對軟件測試開發技術 .NET 框架的安全編碼指南

備用的 NTFS 流名稱；例如，filename::$DATA。

文件名的縮寫版本；例如，longfilename 和 longfi~1。

Eval(userdata) 可以執行任何操作。

對包含某些用戶數據的名稱的晚期綁定。

如果要處理 Web 數據，您必須考慮許可的各種形式的轉義，包括：

十六進制轉義 (%nn)。

Unicode 轉義 (%nnn)。

超長的 UTF-8 轉義 (%nn%nn)。

雙重轉義（%nn 變成 %mmnn，其中，%mm 是“%”的轉義）。

警惕可能具有多個規范格式的用戶名。例如在 Microsoft Windows 2000 中，通�？梢允褂� REDMOND\用戶名 格式或用戶名@redmond.microsoft.com 格式。

遠程處理允許您在應用程序域、進程或機器之間設置透明的調用。但是，代碼訪問安全性堆棧審核無法跨越進程或機器邊界（它只能應用在同一進程的應用程序域之間）。

可遠程處理的任何類（從 MarshalByRefObject 類派生的）都需要為安全性負責。要么只在呼叫代碼可以被隱式信任的安全封閉環境中使用代碼，要么對遠程調用進行設計，以便它們不會將受保護的代碼公開給可以被惡意使用的外部入口。

通常，您不應公開由聲明性的 LinkDemand 和 InheritanceDemand 安全檢查所保護的方法、屬性或事件。若使用遠程處理，則不會執行這些檢查。其他安全檢查（例如 Demand、Assert 等）在進程內的應用程序域之間工作，但不能跨進程或跨機器工作。

文章來源于領測軟件測試網 http://www.kjueaiud.com/