有一回寫了個VB.net的小程序,拿去放在空間上,然後用IE訪問它(http://xxxx/x.exe)沒想到程序居然直接運行了。原來當你的系統裝了.net framework之後IE遇到.net程序就會自動執行而不是下載它。
這裏就存在一個安全隱患,如果我放的是一個惡意的.net程序呢?先要來看看執行的權限。我寫了一個測試用的VB.net程序,你可以點這個鏈接執行它。沒有惡意的,只是彈出一個窗體(普通權限)還有添加一個名爲test的普通用戶(管理員權限)。
經過我自己和邪惡八進制論壇的幾個兄弟測試,發現對於早期的.net版本將會直接完全執行,而.net framework SP1會彈出安全異常並詢問是否繼續,繼續的話彈出窗體而不會添加用戶。可見MS已經修復這個默認設置問題(也歡迎裝有.net framework的CSDN網友測試一下,回覆告知結果,不勝感謝!)。但是還是存在直接執行exe的問題,也就還可能存在安全隱患。
微軟自稱2003安全性高,呵呵,可惜可惜。存在問題的趕快打補丁吧