一、背景
在项目中进行导出excel文件的时候,如果不对用户输入的内容进行判断,则可能会有非法使用者通过DDE注入进行入侵:即用户写入特定内容会被excel解析成函数,当excel被打开时会触发公式解释执行。
例如:当用户某个字段输入的内容为:=cmd | '/ C calc' !A0 时,当该内容被导出至excel中后,会调用系统的计算器。
二、原理:
1、Excel的解释机制
在Excel任何以'='字符开头的单元格都将被电子表格软件解释为公式,如果我们在其中输入“=2+5”,则表格会显示为7。
实际上,除了=号,以下符号都可用于在Microsoft Excel中触发公式解释:
-
等于(“=”)
-
加(“+”)
-
减号(“ - ”)
-
在 (”@”)
2、DDE注入
动态数据交换(DDE),全称DynamicData Exchange,是Windows下进程间通信协议,支持Microsoft Excel,LibreOffice和Apache OpenOffice。Excel、Word、Rtf、Outlook都可以使用这种机制,根据外部应用的处理结果来更新内容。
比如我们构造包含如下字符串的csv或xls文件:
=cmd | '/ C calc' !A0
Excel会尝试调用本机CMD命令,给出友好提示,若用户在无意识状态下点击“是”:
而后尝试接受更正拼写错误,不接受更正则会执行cmd命令,弹出计算器:
三、处理方法
1. 最好:根据业务需要,不允许用户输入特殊字符:@、=、+、- 等等。
2. 以任何危险符号开头的字段应该以单引号、撇号(')字符或空格作为前缀,确保单元格不被解释为公式,但存在可能被绕过的风险。
3. 黑名单过滤=或-号开头的单元格数据,过滤=(-)cmd或=(-)HYPERLINK或concat等。
参考:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
