Риск безопасности: OLEDB Excel

Question

Я пишу веб-приложение, которое будет считывать данные из файла Excel, отправленного аутентифицированным пользователем, открывая к нему соединение OLEDB.Может ли кто-нибудь сказать мне о рисках безопасности открытия файла Excel таким образом?Я знаю, что опасные макросы могут быть встроены в файлы Excel, но все же это риск при использовании соединения OLEDB?

Спасибо.

Answer 1

Нет, угрозы безопасности «Excel» при использовании OLEDB для чтения данных из книг Excel отсутствуют.Любые угрозы безопасности будут связаны с ADO (OLEDB), а не с приложением Microsoft Excel .Поэтому макросы не являются проблемой, равно как и формулы ячеек.

Возможно, вы захотите найти «ado oledb security excel», чтобы удовлетворить ваше любопытство, но я не верю, что вы найдете что-то, о чем можно беспокоиться.

Answer 2

Первая проблема заключается в том, что вам необходимо убедиться, что после загрузки файла он не будет доступен для общественности.Убедитесь, что файлы хранятся вне веб-корня.Вы также должны убедиться, что они не загружают файл с расширением .asp или .php или имя файла, содержащее ../../../../../.«Тип контента» - это управляемая пользователем переменная, и проверка этого значения является полной и полной тратой.

Далее, когда вы открываете файл Excel таким способом, он должен быть проанализирован.Это приводит к переполнению буфера, например , этому .

Убедитесь, что ваша система полностью обновлена, но даже в этом случае Microsoft имеет ужасный послужной список безопасности и, вероятно, вы будете уязвимы в течение многих дней в году.