生成Excel,处理CSV Injection

最新推荐文章于 2024-01-28 12:12:09 发布
最新推荐文章于 2024-01-28 12:12:09 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Java Security CSV Injection Excel 文章标签: CSV Injection Excel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012874209/article/details/89922157
版权
Java 同时被 3 个专栏收录
47 篇文章 0 订阅
订阅专栏
Security
2 篇文章 0 订阅
订阅专栏
CSV Injection
1 篇文章 0 订阅
订阅专栏

1.问题原因:我们在界面填写好数据之后并生成excel,如果数据中是以"=+-@"开头,那么在我们Excel里面显示的时候会出现CSV Injection问题。

2.如何解决:

  • 2.1解决思路:首先生成Excel的workbook,之后再遍历这个workbook,如果遇到以这些特殊字符开头的数据,那么把这些数据拿到之后,在其前面加一个TAB键。

3.核心代码:

import org.apache.commons.lang.math.NumberUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.poi.ss.usermodel.Cell;
import org.apache.poi.ss.usermodel.CellType;
import org.apache.poi.ss.usermodel.Row;
import org.apache.poi.ss.usermodel.Sheet;
import org.apache.poi.ss.usermodel.Workbook;

public static void formulaInjectionScan(Workbook wb)
    {
        if (null == wb)
        {
            return;
        }

        for (Sheet sheet : wb)
        {
            for (Row row : sheet)
            {
                for (Cell cell : row)
                {
                    if (CellType.STRING == cell.getCellTypeEnum())
                    {
                        String cellVal = cell.getStringCellValue();
                        if (StringUtils.isNotBlank(cellVal) && cellVal.length() > 1 && !NumberUtils.isNumber(cellVal)
                            && cellVal.matches(FORMULA_REGEX))
                        {
                            cell.setCellValue(TAB + cellVal);
                        }
                    }
                }
            }
        }
    }

4.引入新的问题:虽然CSV Injection问题处理好了,但是生产的Excel如果上传到我们的系统里面,那么界面上展示的跟CSV Injection相关的数据,这部分数据会显示TAB键,这不是用户想要的结果

  • 4.1处理引入新的问题:其实很简单,我们在上传Excel模板的接口中只需要把TAB打头的给过滤掉即可
  • 4.2 代码如下: 
    import org.apache.commons.lang.math.NumberUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.poi.ss.usermodel.Cell;
import org.apache.poi.ss.usermodel.CellType;
import org.apache.poi.ss.usermodel.Row;
import org.apache.poi.ss.usermodel.Sheet;
import org.apache.poi.ss.usermodel.Workbook;

public static void removePrefixedTabSpace(Workbook wb)
    {
        if (null == wb)
        {
            return;
        }

        for (Sheet sheet : wb)
        {
            for (Row row : sheet)
            {
                for (Cell cell : row)
                {
                    if (CellType.STRING == cell.getCellTypeEnum())
                    {
                        String cellVal = cell.getStringCellValue();
                        if (StringUtils.isNotBlank(cellVal) && cellVal.startsWith(String.valueOf(TAB)))
                        {
                            cell.setCellValue(cellVal.replaceFirst(String.valueOf(TAB), ""));
                        }
                    }
                }
            }
        }
    }

     

一个好人-leo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
csv注入java怎么解决_CSV InjectionCSV注入)
weixin_34364239的博客
02-27 1232
简介许多web应用程序允许用户将发票模板或用户设置等内容下载到CSV文件中。许多用户选择在Excel、Libre Office或open Office中打开CSV文件。当web应用程序无法正确验证CSV文件的内容时,可能会导致执行一个或多个单元格的内容。漏洞利用最基本的利用方式是动态数据交换# pop a calcDDE ("cmd";"/C calc";"!A0")A0@SUM(1+1)*cmd...
XVWA CSV Formula Injection
baynk的博客
03-31 1428
0x00 CSV Formula Injection 这个之前在玩其它的靶场的时候就已经接触过了,上次的时候由于代码问题,没有办法复现成功,这次又碰到了。其实就是利用excel来执行系统命令,越来越感觉hacker的无所不能,牛逼。 先看home.php if($conn){ $stmt = $conn1->prepare("SELECT itemcode,itemname,ca...
CSV InjectionCSV 注入攻击)
最新发布
cwxbox
01-28 1151
CSV注入,也称为公式注入,发生在网站在CSV文件中嵌入不可信输入时。当使用电子表格程序(如Microsoft Excel或LibreOffice Calc)打开CSV时,所有以=开头的单元格都会被软件解释为一个公式。
CSV注入漏洞原理及利用教程
凝聚力安全团队
10-24 8776
参考链接 https://blog.csdn.net/qq_34304003/article/details/87635582 https://www.freebuf.com/vuls/195656.html
Web安全-浅析CSV注入漏洞的原理及利用
道阻且长,行则将至。
05-01 4066
文章目录漏洞简介漏洞原理漏洞利用命令执行钓鱼攻击反弹shell漏洞实例Twitter网站Hackerone漏洞挖掘漏洞防御 漏洞简介 CSV 注入(CSV Injection)漏洞通常会出现在有导出文件 (.csv/.xls) 功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL 会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理 人们通常认为 CSV 或 xls 文件中包含的文本不会有任何安全风险,这是比较大的一个误区。
[NOTE] XVWA靶场练习笔记
qq_43266093的博客
12-04 858
[NOTE] XVWA靶场练习笔记 文章目录[NOTE] XVWA靶场练习笔记前言SQL Injection – Error Based选择框搜索栏SQL Injection – BlindOS Command InjectionXPATH InjectionCSV Formula InjectionPHP Object InjectionUnrestricted File UploadCross Site Scripting (XSS) – ReflectedCross Site Scripting (X
java实现批量excelcsv
04-04
java实现批量excelcsv,其中csv文件为utf-8格式,支持直接导入数据库。
C# 解析 Excel 并且生成 Csv 文件代码分析
09-04
在C#中,解析Excel文件并生成CSV文件是常见的数据处理任务,尤其在数据分析、报表生成或数据迁移等场景中。下面我们将详细探讨如何使用C#实现这个功能。 首先,我们需要引入必要的库。在这个示例中,开发者使用了`...
VBA批量处理csv或其他excel文件数据
08-25
在“VBA批量处理csv或其他excel文件数据”的场景下,我们可以通过编写VBA宏实现以下功能: 1. **遍历文件夹**:VBA可以使用`MkDir`和`ChDir`函数改变当前工作目录,然后使用`Dir`函数来获取指定目录下的所有文件。...
java实现excelcsv
06-15
在Java编程环境中,将Excel文件(.xls或.xlsx格式)转换为CSV文件是一项常见的任务,特别是在数据处理和分析中。本文将深入探讨如何利用Java来完成这个过程,主要使用Apache POI库,这是一个广泛使用的开源库,专门...
导出excelcsv格式模板.zip
05-11
用EasyExcel导出excel和用opencsv导出csv格式模板(含前端),只需改写入数据即可。 导出excel博客:https://blog.csdn.net/weixin_43614067/article/details/116262853 导出csv博客:...
跟着开源项目学java3-从导出excel防止csv注入的提交看注入类的安全问题的解决思路
qq_39007838的博客
12-26 1338
csv注入 若依 common-utils
oracle siebel crm 8.0,Oracle Siebel CRM 8.1.1 - CSV Injection
weixin_39869378的博客
04-03 88
# Exploit Title: Oracle Siebel CRM 8.1.1 - CSV Injection# Date: 2018-10-21# Exploit Author: Sarath Nair aka AceNeon13# Contact: @AceNeon13# Vendor Homepage: www.oracle.com# Software Link: http://www.o...
csv格式数据正则匹配以及校验
wlyang666的博客
11-26 4108
最近接到一个需求,需要在数据库中配置按照csv格式配置数据,并将获取的数据通过正则表达式进行切分处理。 这个需求主要是因为最近项目要加一个数据表达式解析框架jeval,要处理的数据可能包含各种特殊字符,没有一个简单通用的模板可以使用。(具体这个框架的使用我另起一篇来实现) 有些人可能说自己可以自定义一个函数实现字符串数据的切分,理论上这样是可以的 ,主要你的分隔符足够复杂,另外这样还有风险是不能确...
如何在单元格和循环中使用Microsoft Excel中的正则表达式(Regex)
p15097962069的博客
04-24 2032
How can I use regular expressions in Excel and take advantage of Excel's powerful grid-like setup f
Hibernate 中的 formula
DCTM + SAP
07-17 243
  Property元素中的formula允许对象属性包含导出值,比如sum、average、max等的结果。如:   ...
easy excel 生成csv
07-28
EasyExcel可以用于生成CSV格式的文件。在使用EasyExcel导出CSV格式的文件时,只需要在write方法中指定excelType为CSV即可。具体代码示例如下: ```java EasyExcel.write("文件路径", 数据类.class).excelType(ExcelTypeEnum.CSV).sheet("Sheet名").doWrite(数据列表); ``` 其中,"文件路径"是生成CSV文件的保存路径,数据类是要导出的数据的实体类,数据列表是要导出的数据列表。 需要注意的是,导出CSV格式的文件时,需要将excelType设置为ExcelTypeEnum.CSV,以指定导出的文件格式为CSV。 参考链接:\[EasyExcel必读 导出后文件乱码\](链接) #### 引用[.reference_title] - *1* *2* [【无标题】](https://blog.csdn.net/duanduanxiao/article/details/126604354)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Easy Excel 使用总结](https://blog.csdn.net/ACE_U_005A/article/details/127319923)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值