Excel-Formeln mit Escape-Zeichen [aktualisiert in Security Center 1,3]
Verwenden Sie glide.export.escape_formulasEigenschaft zum verhindern von Excel-Injection, auch als Formelinjektion bezeichnet.
Verhindern Sie, dass potenziell schädliche Formeln in Programmen wie Excel nach dem Exportieren und Öffnen der Datei ausgeführt werden, indem Sie Formeln in diesen Dateien mit Escape-Zeichen versehen. Excel-Injection tritt auf, wenn Websites nicht vertrauenswürdige Einträge in Excel-Dateien einbetten. Wenn Sie eine Tabellenkalkulationsanwendung wie Microsoft Excel oder LibreOffice-Aufruf verwenden, um eine Datei zu öffnen, werden alle Zellen, die mit +, -, = oder @ beginnen, als Formel interpretiert, sofern sie nicht ordnungsgemäß mit Escape versehen sind. Schädliche Formeln stellen ein Risiko dar, auch wenn die Tabelle keine vertraulichen Informationen enthält, da sie verwendet werden können, um den Computer des Betrachters durch Codeausführung zu gefährden.
Legen Sie fest glide.export.escape_formulas Systemeigenschaft zu Wahr Um die Ausführung dieser Formeln zu verhindern.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.export.escape_formulas |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Validierung, Bereinigung und Codierung |
| Zweck | Um die Anwendung gegen Excel- oder Formeleinschleusung zu verhindern. |
| Empfohlener Wert | wahr |
| Standardwert | falsch |
| Sicherheitsrisikobewertung | 6,4 |
| Funktionale Auswirkung | Böswillig erstellte Formeln können dazu verwendet werden, den Computer des Anwenders zu kapern, indem Schwachstellen in der Tabellenkalkulationssoftware ausgenutzt werden. |
| Sicherheitsrisiko | (Mittel) böswillige Formeln stellen ein Risiko dar, auch wenn die Einbettungstabelle keine vertraulichen Informationen enthält, da sie verwendet werden können, um den Computer des Betrachters zu gefährden. |
| Workaround | Alternativ sollten Sie alle nachfolgenden Leerzeichen nach Möglichkeit entfernen und alle vom Client bereitgestellten Daten auf alphanumerische Zeichen beschränken. |
| Referenzen | Verfügbare Systemeigenschaften |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.