it-swarm.com.de

Kann eine CSV schädlichen Code enthalten?

Ich arbeite mit einem System, mit dem Benutzer CSV-Dateien hochladen können, die von anderen Benutzern heruntergeladen werden.

Das System überprüft (unter anderem), ob alle CSV-Dateien von einem RFC 4180-kompatiblen Parser analysiert werden können und UTF-8-gültig sind. Es stellt sicher, dass beim Herunterladen von Dateien Content-Type: text/csv; charset=utf-8, und Content-Disposition: attachment; filename="download.csv".

Es wurde die Besorgnis geäußert, dass das System zur Übertragung von Malware oder bösartigem Code verwendet werden könnte.

Gibt es bekannte Mechanismen, bei denen eine schädliche CSV-Datei dazu führen kann, dass der Empfänger Code ausführt? Wenn ja, gibt es eine weitere Validierung, die das Risiko verringern würde?

8
James_pic

Ja, es gibt einige Beispiele für schädliche CSV-Dateien, die eine zufällige Ausführung von "Code" verursachen. Benutzer können CSV-Dateien in MS Excel oder Open Office oder in einer solchen Software mit Makroausführungsfunktionen öffnen.

Einige Beispiele:

https://www.contextis.com//resources/blog/comma-separated-vulnerabilities/https://hackerone.com/reports/72785

Wenn Ihre Umgebung keine gängigen Anwendungen wie MS Excel zum Öffnen von CSVs verwendet, wird das Risiko erheblich reduziert. Ich würde auch nach externen, potenziell böswilligen Links in der heruntergeladenen CSV suchen, die möglicherweise Drive-by-Downloads hosten (daher sollten Sie den Besuch dieser Links vermeiden).

8
whoami

Ja, es kann beliebige Systembefehle enthalten, die auf dem Computer ausgeführt werden, auf dem Sie die CSV-Datei öffnen. Ihre Tabellenkalkulationssoftware rendert die CSV-Werte als injizierte Befehle und wird ausgeführt, nachdem Sie mehrere Warnungen erhalten haben.

Beispiel - Erstellen Sie eine CSV-Datei mit den folgenden 2 Zeilen:

Benutzername, E-Mail, Bezeichnung

= 2 + 5 + cmd | '/C calc '! A0, a @ b.com, SSE

Speichern Sie es und öffnen Sie es mit MS Excel. Der Rechner wird in Ihrem Windows-System geöffnet.

Zur weiteren Lektüre -

2
Arka