.Net Framework的重大漏洞

haipin 2010-09-27 09:36:42
昨天发现一个asp.net Forms验证的重大漏洞,请求各位共同测试。

环境:visual studio 2008,IIS6

1.新建一个Web项目。新建一目录upload,拷贝book3.xls到upload

2.新建login.aspx页面。

3.修改web.config

<authentication mode="Forms">

<forms loginUrl="login.aspx" name=".mdcookie" defaultUrl="default.aspx"/>

</authentication>

<authorization>

<deny users="?"/>

</authorization>


4.运行项目,访问http://localhost:57291/upload/book3.xls,这时自动转向到http://localhost:57291/login.aspx?ReturnUrl=%2fupload%2fbook3.xls

5.好了,以上都是本地运行,和我们预期的效果一样。

6.把项目发布到你的服务器,我的IIS是6.0,服务器ip是192.168.2.2

7.这时访问http://192.168.2.2/upload/book3.xls,这时问题出现了,浏览器竟然没有转到登陆页面,而是弹出下载的对话框,也就是说发布到IIS后forms验证失效了。请各位同仁测试。如果是这样的话,服务器会有很大的安全隐患。
...全文
275 2 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
bluk44444 2010-11-02
  • 打赏
  • 举报
回复
关注,还是通知微软工程师吧
蔡袅 2010-10-20
  • 打赏
  • 举报
回复
关注,还是通知微软工程师吧!

17,747

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术 .NET Framework
社区管理员
  • .NET Framework社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧