【网络安全】CSV注入(附实战案例)
未经许可,不得转载。
文章目录
-
- CSV注入
- 漏洞原理
- Payload
- 影响
- 实战案例
- 修复措施
CSV注入
CSV 注入(CSV Injection)也称为公式注入(Formula Injection),是指网站在生成 CSV 文件时,未经验证地嵌入了不受信任的用户输入。当用户使用电子表格程序(如 Microsoft Excel 或 LibreOffice Calc)打开该 CSV 文件时,任何以 = 开头的单元格都会被软件解释为公式并执行。
CSV(逗号分隔值,Comma Separated Value)是一种用于存储表格数据(包括数字和文本)的纯文本格式。每条记录由一个或多个字段组成,字段之间使用逗号分隔。
示例:我们可以使用 =A1+A2 公式来相加两个单元格的值。它会简单地将 A1 和 A2 单元格中的值相加,并将结果显示在第三个字段中。