我们正在编写一个(Web)应用程序,其中包含一个从 Excel 读取数据的函数。其中一些输入将直接来自用户。
我正在尝试评估这里是否存在任何重要的攻击媒介。显然,我们已经尝试并测试了其他技术(例如 SQL 注入)的数据清理模式,但我不太清楚 Excel 文档可能存在哪些问题。
我正在尝试确定是否有任何值可能(如果盲目使用)导致:
- 恶意执行其他应用程序
- 应用程序挂起,从而挂起进程
- excel表格中的其他数据需要更改
excel 工作表永远不会暴露给用户,所以我不太担心将文档返回给用户。相反,我担心加强应用程序将在其上运行的服务器。
如果相关,我们正在围绕一个 SpreadsheetGear 组件运行一个 ASP.NET (c#) Web 应用程序。