1.3.9　不要信任服務

這里的服務是指任何外部或者內部提供的系統、平臺、接口、功能，也包括自研客戶端和作為客戶端功能的軟件，例如瀏覽器、FTP上傳下載工具等。

在實踐中，我們常常見到，對于由外部第三方提供的服務，特別是銀行支付接口、短信通道接口，應用一般都是直接信任的，對其返回值或者回調請求缺少校驗。同樣，對于內部服務，應用一般也是直接信任的。事實上，這種盲目的信任關系會導致嚴重的安全風險。如外部和內部服務被成功控制后，我們的業務也可能會受到直接影響。對于來自自研客戶端或者作為客戶端功能的軟件的數據更應該進行嚴格校驗，因為這些數據被惡意篡改的概率是非常大的。例如，黑客通過逆向工程（Reverse Engineering）對自研客戶端進行反編譯（Decompilation），往往可以直接分析出客戶端和服務器端交互的數據格式，從而可以進一步模擬請求或者偽造請求而嘗試入侵。