一、CSV注入漏洞的简单介绍
CSV注入漏洞通常出现在.csv或.xls文件中,其利用主要分为两步:
- 攻击者将恶意负载(公式)注入到.csv或.xls文件的输入字段中,并将文件发给用户;
- 用户用EXCEL打开文件,EXCEL自动执行恶意代码,攻击达成!
网上很多文章对该漏洞进行了讲解和复现,这里不再啰嗦了,感兴趣的读者,请参考FREEBUF的这篇文章。
二、CSV注入漏洞的防御建议
用户用EXCEL打开包含恶意代码的文件时,一般会弹出警示窗口(如下图),所以我们只需要选择“禁用”,就可以避免中招。
CSV漏洞触发窗口
然而,很多企业员工并不具备网络安全常识,点击了“启用”使得CSV注入漏洞导致的安全事故层出不穷。
所以笔者认为,针对CSV注入漏洞最好的防御方法是:
- 要求员工凡是OFFICE弹出的提示框必须点击“禁用”;
- 要求开发人员尽量过滤掉+、-、=、@这4个特殊字符。
如果因为业务需要,必须使用到+、-、=和@这四个字符,例如手机号码:+86 xxxxx、邮箱地址:@xxxxx.com等,那么应该在带有=、-、+或者@运算符的单元格前面加上tab空格字符;如果有引号的话,要保证所有字符都在引号里面。
网友评论