(OWASP汉化)攻击系列大全(二十四):CSV注入

CSV注入

CSV注入也叫公式注入,一般发生在当网页把不可信的输入嵌入到CSV文件中时。
当一个电子表格程序(比如说Microsoft Excel 或者 LibreOffice Calc)打开一个CSV文件时,任何以‘=’开头的单元格内容讲会被解析为公式。
恶意构造的公式可以被用在三个关键的攻击点上:
– 利用电子表格软件的漏洞(例如CVE-2014-3524)劫持用户的计算机。
– 利用用户偏向于忽略电子表格软件的安全警告这一习惯,从他们自己的网站下载电子表格,从而劫持用户的计算机。
– 从用户打开的电子表格或者其他电子表格中获取数据。
这种攻击很难通过一些bug奖励计划来明确禁止或者缓解。要避免这种情况,请确保任何单元格都不以以下任何字符作为开头:
– 等于号(“=”)
– 加号(“+”)
– 减号(“-”)
– At(“@”)
更多相关信息,请参考以下文章:
逗号分隔的漏洞
视频:针对Piwik的CSV注入
通过CSV注入窃取Google文档