Quali sono i rischi per la sicurezza dell'importazione e dell'elaborazione di un foglio di calcolo Excel da un utente non affidabile

3

Sto lavorando su un'applicazione web e abbiamo una funzione amministrativa che consente agli amministratori di importare un foglio di calcolo Excel contenente informazioni sui sub utenti che vorrebbero aggiungere. Analizziamo il foglio di calcolo e facciamo la convalida dell'input di base sulla maggior parte dei campi. Garantiamo inoltre che il file abbia l'estensione corretta prima di iniziare un esame approfondito del file.

Sono curioso di sapere se ci sono altri rischi che trascuro quando si tratta di dati utente importati. Importare in modo specifico fogli di calcolo Excel.

    
posta beatsbears 31.03.2016 - 18:30
fonte

3 risposte

2

Sebbene Austin sia corretto, è anche un rischio che il file stesso contenga un exploit. Le applicazioni per ufficio sono assolutamente massive e hanno una superficie di attacco davvero enorme. Se hai tempo a disposizione, apri un fuzzer strumentato come American Fuzzy Lop (AFL) ed eseguilo sul tuo processore Excel. Troverai una quantità impressionante di arresti anomali dall'aspetto spaventoso.

Devi valutare il tuo rischio qui. Se ti stai difendendo da qualcuno che ha solo le capacità per scrivere una macro dannosa, probabilmente non hai molto di cui preoccuparti. Se ti stai difendendo da qualcuno che conosce una cosa o due sullo sfruttamento del software e sei il loro obiettivo, aprire i loro fogli di calcolo sarà un sogno che si avvera.

    
risposta data 02.04.2016 - 03:34
fonte
1

Penso che il rischio maggiore che posso pensare è se quel foglio di calcolo contiene una macro dannosa.

I macro in Office sono stati sfruttabili a lungo, e recentemente Locky e alcuni altri cryptolocker hanno iniziato a infettare gli utenti con macro in Word. Non vedo alcun motivo per cui la macro non funzionerebbe in altri programmi di Office.

link

    
risposta data 31.03.2016 - 19:40
fonte
0

A, ad esempio, di cosa fare attenzione è illustrato da una patch rilasciata per Magento, SUPEE-5994 che trattava il seguente problema dal contenuto inserito dall'utente, esportato:

Attacker can provide input that executes a formula when exported and opened in a spreadsheet such as Microsoft Excel. The formula can modify data, export personal data to another site, or cause remote code execution. The spreadsheet usually displays a warning message, which the user must dismiss for the attack to succeed.

Pertanto, si applicano i normali avvertimenti, i contenuti arbitrari accettati dal Web senza un'adeguata mitigazione possono portare sorprese interessanti se aperti in un programma di fogli di calcolo per il quale il contenuto dannoso è adattato.

    
risposta data 02.04.2016 - 06:23
fonte

Leggi altre domande sui tag