Platiquemos de este tipo de ataque, los archivos CSV son un tipo de archivos muy común, los cuales se emplean para compartir información entre diversos sistemas de manera sencilla, este formato es empleado por varias aplicaciones tanto comerciales como propias de una empresa.
Existen algunos programas comerciales, como Excel, open office etc, que permiten interpretar la información con algunas formulas ( en algunos casos un desarrollador llega a buscar interpretar campos de un CSV para poder obtener ciertos datos o ejecutar ciertos procesos)
La inyección de CSV, consiste en aprovechar esta capacidad, y en vez de enviar un dato, enviar una formula, esperando que el servidor sea capaz de interpretarla, comúnmente se emplea el signo = y posteriormente se escribe la formula.
Ahora me preguntaran ¿Que daño puede hacer?, realmente puede hacer mucho daño, se puede poner un hyperlink, ejecutar un comando externo un comando externo nos puede dar acceso a un servidor etc.
En muchas ocasiones el tomar una funcionalidad que existe para dar mucha flexibilidad a nuestros aplicativos, abre una puerta para poder causar daños mayores, vean que puertas abren, aprendan a construir sus barreras.
Felices lineas
Existen algunos programas comerciales, como Excel, open office etc, que permiten interpretar la información con algunas formulas ( en algunos casos un desarrollador llega a buscar interpretar campos de un CSV para poder obtener ciertos datos o ejecutar ciertos procesos)
La inyección de CSV, consiste en aprovechar esta capacidad, y en vez de enviar un dato, enviar una formula, esperando que el servidor sea capaz de interpretarla, comúnmente se emplea el signo = y posteriormente se escribe la formula.
Ahora me preguntaran ¿Que daño puede hacer?, realmente puede hacer mucho daño, se puede poner un hyperlink, ejecutar un comando externo un comando externo nos puede dar acceso a un servidor etc.
En muchas ocasiones el tomar una funcionalidad que existe para dar mucha flexibilidad a nuestros aplicativos, abre una puerta para poder causar daños mayores, vean que puertas abren, aprendan a construir sus barreras.
Felices lineas
No hay comentarios.:
Publicar un comentario