解决DDE注入攻击

很多人很容易忽略的是DDE注入:导出格式为csv,xls时,或许你可以尝试构造这个漏洞,它不会对网站本身产生危害,但会对终端用户造成任意OS命令执行等危害。

Excel解析机制

在Excel任何以'='字符开头的单元格都将被电子表格软件解释为公式,如果我们输入=1+2,则表格会显示为:3
等于'=''+' 减号' - ''@'符号都可用于在Microsoft Excel中触发公式解释,这个可以帮助我们在等号 =被过滤时,使用其他运算符绕过

用户准备导出的Excel表格内容
导出后以'='字符开头的单元格被解析为3
漏洞危害

可以使用= cmd | '/ C calc' !A0弹计算器,或者使用=cmd|'/k ipconfig'!A0弹出ipconfig命令。如果系统可以实现弹框效果,说明我们可以执行任意的js代码,比如:
添加用户
开启任意应用程序:IE
操作注册表
信息泄露,超链接功能 Hyperlink创建快捷方式并进行跳转 等

防御手段
  1. 一般的防御手段为,在生成电子表格时,以任何危险符号开头的字段应该以单引号、撇号(')或空格作为前缀,确保单元格不被解释为公式,但存在可能被绕过的风险
// tableExport.js 部分源码
function preventInjection (str) {
  if (str.length > 0 && defaults.preventInjection === true) {
    var chars = '=+-@';
    if (chars.indexOf(str.charAt(0)) >= 0)
      return ('\'' + str);   // 若查找到以=+-@开头的字符,添加单引号'作为前缀
  }
  return str;
}
单元格前加单引号'防止解析
  1. 更好的防御手段为,根据业务需求控制用户输入为字母数字字符;或黑名单过滤=-号开头的单元格数据,过滤=(-)cmd=(-)HYPERLINKconcat
  1. 通过给导出的td添加style="mso-number-format:'\@'; vnd.ms-excel.numberformat:'\@'",设置单元格为文本格式,可以完美解决代码被解析


=1+2
// tableExport.js 部分源码
// 获取td标签上data-tableexport-msonumberformat属性值,并设置style
var tdcss = $(cell).attr('data-tableexport-msonumberformat');
if (typeof tdcss === 'undefined' && typeof defaults.mso.onMsoNumberFormat === 'function')
  tdcss = defaults.mso.onMsoNumberFormat(cell, row, col);
if (typeof tdcss !== 'undefined' && tdcss !== '')
  tdstyle = 'style="mso-number-format:\'' + tdcss + '\';vnd.ms-excel.numberformat:\''+ tdcss + '\'';
此方法将单元格设置为文本格式,完美解决

你可能感兴趣的:(解决DDE注入攻击)