本主题中讨论 MFC 潜在的安全漏洞。
潜在的安全漏洞
MFC 允许用户自定义应用程序的用户界面,例如,图标和按钮外观的外观。 MFC 还支持用户定义的工具,使用户执行命令 shell。 因为应用程序的自定义设置。在注册表,用户配置文件将出现安全漏洞。 访问注册表的人可以编辑那些设置和更改应用程序的外观或行为。 例如,一台计算机的管理员可以通过生成用户的应用程序模拟用户执行任何程序 (即使从网络共享)。
问题解决
我们建议采用这三种方法中的任意一个关闭注册表中的漏洞:
加密其中存储的数据
存储在安全文件中的数据而不是注册表。
若要完成这些后两种方法之一,从 CSettingsStore 类 中派生一个类并重写其方法实现加密或存储在注册表中。
还可以禁用应用程序的自定义。