考试首页 | 考试用书 | 培训课程 | 模拟考场 | 考试论坛  
  当前位置:设计制作 > XML > 文章内容
  

OpenXML应用安全(2)OLE机制

 [ 2017年5月31日 ] 【

  OLE(Object Linking and Embedding,对象连接与嵌入)不仅是桌面应用程序集成,而且还定义和实现了一种允许应用程序作为软件“对象”(数据集合和操作数据的函数)彼此进行“连接”的机制,这种连接机制和协议称为部件对象模型(Component Object Model,COM)。

  OLE可以用来创建复合文档,复合文档包含了创建于不同源应用程序,有着不同类型的数据,因此它可以把文字、声音、图像、表格、应用程序等组合在一起。

  但对OLE的支持也带来了一些安全性问题,如在Outlook 2002及以上版本中,黑客如果在邮件中嵌入危险OLE对象,就可以对其肆意伪装,有可能骗过用户导致安全问题。

  OLE2是OLE对象的升级版本。

  Office中的宏也是作为OLE2对象嵌入到文档中的,下面看在Word中创建一个Excel文档的例子。

  首先在Word文档中选择插入→表格→Excel电子表格,如图14-23所示。

  

  图14-23 插入电子表格

  执行图14-23的操作后得到图14-24所示的结果。

  

  图14-24 在Word中插入Excel表格

  实际上,插入的Excel会作为一个OLE2对象存储在对应的ZIP包的逻辑目录下,然后通过关系加载到主文档中。对于.docx文档,OLE对象通常存储在word\embeddings目录下,如图14-25所示。

  

  图14-25 OLE对象在Word中的存储

  OLE对象以它的原生格式存储在ZIP包中。还有另一类OLE对象称为OLEPackage对象,这类对象可以包含任意文件,并且可以设置命令。OLEPackage对象以OLE2二进制格式存储。

  如果嵌入一个恶意的OLE对象,或者恶意程序替换或者向文档中添加恶意OLE对象,都会造成很严重的后果。

  如果应用场景有需要,无法完全避免OLE对象的执行,但是可以借助杀毒软件来减弱Office文档的危害。如果你还不是很放心,可以通过程序处理OLE对象,删除或者重命名。只要有个解压缩工具就可以完成这样的工作,下面提供一小段代码,见代码清单14-21。

  代码清单14-21 删除OLE对象

  public static void RemovePart(string document)

  {

  using (WordprocessingDocument wordDoc = WordprocessingDocument.Open(document, true))

  {

  MainDocumentPart mainPart = wordDoc.MainDocumentPart;

  if (mainPart.DocumentSettingsPart != null)

  {

  mainPart.DeleteParts(mainPart.EmbeddedObjectParts);

  mainPart.DeleteParts(mainPart.EmbeddedPackageParts);

  }

  }

  }

  提示使用以上代码之前,需要在项目中添加对DocumentFormat.OpenXml.dll的引用,才能够使用Open XML SDK提供的API。

  在代码中,首先获取主文档对象MainDocumentPart,使用mainPart.EmbeddedObjectParts和mainPart.EmbeddedPackageParts分别获取文档中的OLE对象和OLE Package对象,最后调用MainDocumentPart类的DeleteParts方法删除它们。

  如果防止恶意添加或者修改OLE对象,可以对Open XML文档进行数字签名,在后面的博文会进行讲解。

本文纠错】【告诉好友】【打印此文】【返回顶部
将考试网添加到收藏夹 | 每次上网自动访问考试网 | 复制本页地址,传给QQ/MSN上的好友 | 申请链接 | 意见留言 TOP
关于本站  网站声明  广告服务  联系方式  站内导航  考试论坛
Copyright © 2007-2013 中华考试网(Examw.com) All Rights Reserved