热门标签
热门文章
- 1git 命令提示 “The project you were looking for could not be found.”_git push the project you were looking for could no
- 2国产开发板——香橙派Kunpeng Pro的上手初体验
- 3opencv 移植arm_opencv arm
- 4python能做excel吗-零基础小白怎么用Python做表格?
- 5[und&swi]异常模式_swi 和 undef 异常返回
- 6几个超简单的AI副业项目,即刻便能上手赚钱!_ai代写 副业
- 7kafka入门踩坑 连接超时问题_访问kafka broker节点超时
- 8Git基础学习_git 主线开发
- 9(三)idea git log 面板_idea git log恢复图形设置
- 10《自然语言处理》课程设计_基于浏览记录的个性化新闻推荐
当前位置: article > 正文
【漏洞挖掘】——46、 CSV注入实践操作
作者:IT小白 | 2024-08-14 12:25:37
赞
踩
csv注入
漏洞介绍
CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量,攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷,当用户打开Excel文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能,在这个过程中,CSV中的所有Excel公式都会执行,当该函数有合法意图时,很易被滥用并允许恶意代码执行
漏洞复现
简易测试
在Office的"文件->选项->信任中心"处开启"启用动态数据交换服务器启动"功能:
之后构造以下恶意载荷:
=1+cmd|' /C calc'!A0
之后模拟用户打开Excel文件:
发现载荷成功执行:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/979713
推荐阅读
相关标签
