CSV注入
文档摘要
CSV 注入 许多 Web 应用程序允许用户将内容(例如发票模板或用户设置)下载为 CSV 文件。许多用户选择在 Excel、LibreOffice 或 OpenOffice 中打开这些 CSV 文件。如果 Web 应用程序未对 CSV 文件的内容进行适当的验证,就可能导致单元格或多个单元格中的内容被执行。 摘要 方法论 Google Sheets 参考文献 方法论 CSV 注入,也称为公式注入,是一种安全漏洞,当不受信任的输入被包含在 CSV 文件中时就会发生。任何公式都可以通过以下方式启动: 使用 动态数据交换 (DDE) 的基本漏洞利用。 启动一个 calc 进程 下载并执行 PowerShell 脚本 前缀混淆与命令链 使用 rundll32 代替 cmd 使用空字符绕过字典过滤器。
评论区
(0)
U