CSV注入漏洞防御

一、CSV注入漏洞的简单介绍

CSV注入漏洞通常出现在.csv或.xls文件中,其利用主要分为两步:

  1. 攻击者将恶意负载(公式)注入到.csv或.xls文件的输入字段中,并将文件发给用户;
  2. 用户用EXCEL打开文件,EXCEL自动执行恶意代码,攻击达成!

网上很多文章对该漏洞进行了讲解和复现,这里不再啰嗦了,感兴趣的读者,请参考FREEBUF的这篇文章。

二、CSV注入漏洞的防御建议

用户用EXCEL打开包含恶意代码的文件时,一般会弹出警示窗口(如下图),所以我们只需要选择“禁用”,就可以避免中招。

CSV漏洞触发窗口

然而,很多企业员工并不具备网络安全常识,点击了“启用”使得CSV注入漏洞导致的安全事故层出不穷。

所以笔者认为,针对CSV注入漏洞最好的防御方法是:

  • 要求员工凡是OFFICE弹出的提示框必须点击“禁用”;
  • 要求开发人员尽量过滤掉+、-、=、@这4个特殊字符。

如果因为业务需要,必须使用到+、-、=和@这四个字符,例如手机号码:+86 xxxxx、邮箱地址:@xxxxx.com等,那么应该在带有=、-、+或者@运算符的单元格前面加上tab空格字符;如果有引号的话,要保证所有字符都在引号里面。

你可能感兴趣的:(CSV注入漏洞防御)