Un CSV può contenere codice dannoso?

Naviga le tue risposte
6

Sto lavorando con un sistema che consente agli utenti di caricare file CSV, che vengono scaricati da altri utenti.

Il sistema convalida (tra le altre cose) che tutti i file CSV possono essere analizzati da un parser compatibile con RFC 4180 e sono UTF-8 validi. Garantisce che quando i file vengono scaricati, hanno Content-Type: text/csv; charset=utf-8 e Content-Disposition: attachment; filename="download.csv" .

È stato sollevato il problema che il sistema possa essere utilizzato per trasmettere malware o codice dannoso.

Esistono meccanismi noti in cui un file CSV dannoso potrebbe causare l'esecuzione di codice da parte del destinatario? In tal caso, c'è qualche ulteriore convalida che ridurrebbe il rischio?

    
posta James_pic 12.07.2017 - 18:35
fonte

2 risposte

7

Sì, ci sono alcuni esempi di file CSV dannosi che causano l'esecuzione casuale di "codice". Le persone scelgono di aprire i file CSV in MS Excel o Open Office o tale software con funzionalità di esecuzione macro.

Alcuni esempi:

link link

Se il proprio ambiente non utilizza applicazioni popolari come MS Excel per aprire CSV, il rischio viene significativamente ridotto. Cercherò anche la presenza di link esterni potenzialmente malevoli nel file CSV scaricato che potrebbe ospitare download in drive-by (quindi eviterai di visitare questi link).

    
risposta data 12.07.2017 - 18:46
fonte
1

Sì, può contenere comandi di sistema arbitrari che verranno eseguiti sulla macchina su cui si sta aprendo il file CSV. Il tuo foglio di calcolo renderà i valori CSV come i comandi iniettati ed eseguirai dopo averti avvertito più volte.

Esempio: crea un file CSV con le seguenti 2 righe:

Nome utente, email, designazione

= 2 + 5 + cmd |' / C calc '! A0, a @ b.com, SSE

Salvalo e apri usando MS excel. Il calcolatore si aprirà nel tuo sistema Windows.

Per ulteriori informazioni -

risposta data 18.12.2017 - 09:37
fonte

Leggi altre domande sui tag

È un buon modo per gestire la risposta agli incidenti Ricevo molti tentativi di connessione sconosciuti, cosa devo fare?