CSV注入漏洞防御

一、CSV注入漏洞的简单介绍

CSV注入漏洞通常出现在.csv或.xls文件中，其利用主要分为两步：

1. 攻击者将恶意负载（公式）注入到.csv或.xls文件的输入字段中，并将文件发给用户；
2. 用户用EXCEL打开文件，EXCEL自动执行恶意代码，攻击达成！

网上很多文章对该漏洞进行了讲解和复现，这里不再啰嗦了，感兴趣的读者，请参考FREEBUF的这篇文章。

二、CSV注入漏洞的防御建议

用户用EXCEL打开包含恶意代码的文件时，一般会弹出警示窗口（如下图），所以我们只需要选择“禁用”，就可以避免中招。

CSV漏洞触发窗口

然而，很多企业员工并不具备网络安全常识，点击了“启用”使得CSV注入漏洞导致的安全事故层出不穷。

所以笔者认为，针对CSV注入漏洞最好的防御方法是：

• 要求员工凡是OFFICE弹出的提示框必须点击“禁用”；
• 要求开发人员尽量过滤掉+、-、=、@这4个特殊字符。

如果因为业务需要，必须使用到+、-、=和@这四个字符，例如手机号码：+86 xxxxx、邮箱地址：@xxxxx.com等，那么应该在带有=、-、+或者@运算符的单元格前面加上tab空格字符；如果有引号的话，要保证所有字符都在引号里面。