Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/9/2014
Indsætning af formler er en ny form for sårbarhed i web-applikationer. Angribere kan udnytte den til at afvikle kommandoer i regneark.Sikkerhedsforsker James Kettle kalder sårbarhedstypen for "formula injection". Den går ud på, at en angriber udfylder en formular på et websted. I et felt skriver angriberen en kommando, der begynder med et lighedstegn.
Hvis administratoren af webstedet downloader indholdet i et regnearksformat og åbner det i Excel eller et lignende program, bliver kommandoen udført.
En række web-platforme indeholder funktioner til at eksportere til regnearksformat. Derfor er de sårbare, hvis web-programmerne ikke kontrollerer de tegn, brugerne indtaster.
James Kettle anbefaler, at programmører beskytter mod truslen ved at fange input, der begynder med lighedstegn. Ved at sætte en apostrof foran dem, gøres de til kommentarer i stedet for formler, og så afvikler regnearket dem ikke.
Formler kan blandt andet starte andre programmer. Han og hans kolleger opdagede en sårbarhed i LibreOffice og OpenOffice: Her blev der godt nok vist en advarsel om, at der var link til andre filer men den farlige kommando blev udført, før advarslen blev vist. Den fejl er rettet i Apache OpenOffice version 4.1.1 og LibreOffice version 4.2.5.
Anbefaling
Web-udviklere bør være opmærksomme på risikoen for indsætning af formler, hvis webstedet kan eksportere til regneark eller kommasepareret filformat.