.Net Framework的重大漏洞

昨天发现一个asp.net Forms验证的重大漏洞，请求各位共同测试。

环境：visual studio 2008,IIS6

1.新建一个Web项目。新建一目录upload,拷贝book3.xls到upload

2.新建login.aspx页面。

3.修改web.config

<authentication mode="Forms">



 <forms loginUrl="login.aspx" name=".mdcookie" defaultUrl="default.aspx"/>



</authentication>



<authorization>



 <deny users="?"/>



</authorization>

4.运行项目，访问http://localhost:57291/upload/book3.xls,这时自动转向到http://localhost:57291/login.aspx?ReturnUrl=%2fupload%2fbook3.xls

5.好了，以上都是本地运行，和我们预期的效果一样。

6.把项目发布到你的服务器，我的ＩＩＳ是６.０，服务器ip是192.168.2.2

7.这时访问http://192.168.2.2/upload/book3.xls,这时问题出现了，浏览器竟然没有转到登陆页面，而是弹出下载的对话框，也就是说发布到ＩＩＳ后forms验证失效了。请各位同仁测试。如果是这样的话，服务器会有很大的安全隐患。
--------------------编程问答-------------------- 关注，还是通知微软工程师吧！ --------------------编程问答-------------------- 关注，还是通知微软工程师吧

补充：.NET技术 ,  .NET Framework