¿Cuáles son los riesgos de seguridad al importar y procesar una hoja de cálculo de Excel de un usuario no confiable?

Navega tus respuestas
3

Estoy trabajando en una aplicación web y tenemos una función administrativa que permite a los administradores importar una hoja de cálculo de Excel que contiene información sobre los subusuarios que les gustaría agregar. Analizamos la hoja de cálculo y hacemos validación de entrada básica en la mayoría de los campos. También nos aseguramos de que el archivo tenga la extensión correcta antes de comenzar a realizar un examen más profundo del archivo.

Tengo curiosidad por saber si hay otros riesgos que estoy ignorando al tratar con datos de usuarios importados. Importación específica de hojas de cálculo de Excel.

    
pregunta beatsbears 31.03.2016 - 18:30
fuente

3 respuestas

2

Si bien Austin es correcto, también es un riesgo que el archivo en sí contenga una vulnerabilidad. Las aplicaciones de Office son completamente masivas y tienen un área de superficie de ataque verdaderamente gigantesca. Si tiene tiempo en sus manos, abra un fuzzer instrumentado como American Fuzzy Lop (AFL) y ejecútelo en su procesador de Excel. Encontrarás una cantidad impresionante de choques de aspecto muy aterrador.

Tienes que evaluar tu riesgo aquí. Si se está defendiendo contra alguien que solo tiene las habilidades para escribir una macro maliciosa, probablemente no tenga mucho de qué preocuparse. Si se defiende contra alguien que sabe una o dos cosas sobre la explotación de software y es su objetivo, abrir sus hojas de cálculo será un sueño hecho realidad.

    
respondido por el forest 02.04.2016 - 03:34
fuente
1

Creo que el mayor riesgo que se me ocurre es que esa hoja de cálculo contenga una macro maliciosa.

Las macros en Office han sido explotables durante mucho tiempo, y recientemente Locky y algunos otros cryptolockers se han dedicado a infectar a los usuarios con macros en Word. No veo ninguna razón por la que la macro no funcione en otros programas de Office.

enlace

    
respondido por el Austin 31.03.2016 - 19:40
fuente
0

Un ejemplo de lo que hay que vigilar se ilustra con un parche publicado para Magento, SUPEE-5994, que aborda el siguiente problema del contenido exportado por el usuario:

  

El atacante puede proporcionar una entrada que ejecuta una fórmula cuando se exporta y se abre en una hoja de cálculo como Microsoft Excel. La fórmula puede modificar datos, exportar datos personales a otro sitio o provocar la ejecución remota de código. La hoja de cálculo generalmente muestra un mensaje de advertencia, que el usuario debe descartar para que el ataque tenga éxito.

Por lo tanto, se aplican las advertencias habituales, el contenido arbitrario aceptado de la web sin la mitigación adecuada puede generar sorpresas interesantes cuando se abre en un programa de hoja de cálculo para el que se adapta el contenido malicioso.

    
respondido por el Fiasco Labs 02.04.2016 - 06:23
fuente

Lea otras preguntas en las etiquetas

¿Por qué openssl s_client no valida correctamente google.com:443? Riesgos de usar una página web sin SSL / TLS para donaciones