有一回写了个VB.net的小程序,拿去放在空间上,然后用IE访问它(http://xxxx/x.exe)没想到程序居然直接运行了。原来当你的系统装了.net framework之后IE遇到.net程序就会自动执行而不是下载它。
这里就存在一个安全隐患,如果我放的是一个恶意的.net程序呢?先要来看看执行的权限。我写了一个测试用的VB.net程序,你可以点这个链接执行它。没有恶意的,只是弹出一个窗体(普通权限)还有添加一个名为test的普通用户(管理员权限)。
经过我自己和邪恶八进制论坛的几个兄弟测试,发现对于早期的.net版本将会直接完全执行,而.net framework SP1会弹出安全异常并询问是否继续,继续的话弹出窗体而不会添加用户。可见MS已经修复这个默认设置问题(也欢迎装有.net framework的CSDN网友测试一下,回复告知结果,不胜感谢!)。但是还是存在直接执行exe的问题,也就还可能存在安全隐患。
微软自称2003安全性高,呵呵,可惜可惜。存在问题的赶快打补丁吧