csv修改单元格格式后无法保存_实战笔记之csv/xlsx注入

最新推荐文章于 2024-03-27 18:12:36 发布
最新推荐文章于 2024-03-27 18:12:36 发布
阅读量2.4k 收藏
点赞数
文章标签: csv修改单元格格式后无法保存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34975022/article/details/112116214
版权
本文介绍了在测试过程中发现的一个冷门漏洞——CSV/XLSX注入。通过管理员导出含有恶意payload的数据,当编辑文件时,可触发命令执行。虽然危害不高,但揭示了文件格式注入的可能性。复现步骤包括创建payload、发布内容、导出数据和启用编辑。CSV格式的文档触发payload所需交互较少,而在Win10系统中可能需要额外设置。
摘要由CSDN通过智能技术生成

一、故事背景

二、实战案例

一、故事背景

回顾往期内容

实战笔记之服务端逻辑重构漏洞

滑动验证码攻防对抗

实战笔记之X厂滑动验证码漏洞挖掘

好久不见。

记得写完上一篇文章《实战笔记之服务端逻辑重构漏洞》后。

e6a23b1eb0fe268dd5575a1111dab5a6.png

...

比3月29号提前了两天,不算如期而至。

期间参加了一次秘密众测,中间get到一个比较冷门的漏洞点,虽然危害不高,但想简单记录分享一下。老师傅绕路,下篇文章再见~

二、实战案例

1

复现场景

①两重身份:普通用户&管理员用户

af4ff3a23600689ded938ced8bd62eb9.png

②漏洞切入点:后台具有数据导出的接口

 

最低0.47元/天 解锁文章
微策略中国
关注
csv修改单元格格式无法保存_Excel教程——excel如何使用条件格式
weixin_39970064的博客
12-28 5655
Microsoft excel条件格式可是你分析数据的好帮手,但该如何査看和分析这些数据呢? macw小编带来了excel如何使用条件格式的教程,希望对你有帮助!这款excel Mac版有一项常常被忽视、却非常实用的工具:“条件格式”。它能自动根据单元格的值变其外观,让最重要的信息一目了然。下面这个简单的表格显示了一个赛季的15场篮球赛中,各个球员的得分情况:如果你想突出显示表格中最高的三个数值...
csv修改单元格格式无法保存_Excel中的文本格式
weixin_42355400的博客
12-28 6355
Excel中有很多问题,有些我们本身看见的东西,可能并不如我们看到的那样,也就是“眼见不一定为真”。可能有人碰到过这些问题:1、为什么我的数字没办法求和?为什么我写的公式不能计算?2、为什么我的数字前面,有的有小角标,有的没有?3、一串数字前面有一个上单引号是什么意思?当你产生这些疑惑时,说明你可能遇上了文本格式的问题,下面我们来说说文本格式?一、什么是文本格式?常见的文本文件有.txt...
CSV编辑器,完美保存CSV格式
06-24
CSV编辑器,完美保存CSV格式,某些网站所需的CSV格式用excel编辑时不支持,就可以用这一款编辑器
csv文件在excel修改字段后保存格式失效怎么办?
weixin_52582710的博客
12-21 7033
一般csv文件再excel中编辑后,保存内容后,格式会发生变化,但excel按字段处理数据非常方便。 难道鱼和熊掌不能兼得吗? 为了兼容,可以进行如下操作: csv文件在excel修改字段后保存,再在Notepad++中新建一个文档,将excel编辑后的csv文档拖进编辑框,进行保存即可。 ...
用了这个 jupyter 插件,我已经半个月没打开过 excel 了
python爬虫人工智能大数据
09-19 316
转自 | python大数据分析1 简介jupyter lab是我迄今为止体验过开展数据分析等任务最舒适的平台,但这不代表它是完美的,因为在很多方面它仍然存在欠缺,譬如在对csv文件的交...
csv文件无法保存字体和单元格格式
s1162276945的博客
03-05 743
csv文件无法保存字体和单元格格式
解决UE5导出CSV文件修改无法保存,或保存后再导入出现错误的问题
最新发布
yunchanghai88的博客
03-27 969
如果出现这个弹框,是因为你刚才用WPS打开了同一个文件,你把WPS关闭再按上面的步骤保存就可以了,关闭WPS时,可以选择不保存(你在用记事本保存文件时不与WPS打开的文件同名就不会出现这个弹窗)然后再把这WPS中的内容全部选中并复制,再到记事本中把里面的内容全部覆盖(先选中记事本中的所有内容,再粘贴,就把从WPS中复制过来的数据全部覆盖到记事本里了),名称外命名,保存类型处要选“所有文件”,并且编码处要选"UTF-8",导出为CSV文件格式,并且保持原来名称,再找到下面的文件路径:源文件。
cvs不能正确保存
顾传龙
12-06 758
本文原址:http://blog.163.com/java_boy@126/blog/static/11766367520099171018828/今天第一次用cvs,结果就出现问题了。1.首先,我计算机的用户密码为空,这个时候总是连接不上,总是提示用户名或密码错误,但是按他们说的,如果为空的话,那就应该不输入就是了啊,但是不行,没有办法,找不到解决办法,我就只有给我电脑又设上密码,这才行
Python学习笔记——csv/excel文件读写&保存
12-21
`csv` 是Python内置的库,用于处理CSV格式数据;而`pandas` 是一个强大的数据处理库,它支持CSV和Excel文件的读写。 **工具包准备和设置检查** 1. **导入相关工具包**:确保已经安装了`pandas`,如果没有,可以...
Python-列表、字典写入保存读取(txt、csv、xls/xlsx、npy)
热门推荐
Sky-JT的博客
12-15 1万+
本文主要记录Python-实现文件存取的相关笔记,涉及到列表、字典类型的数据如何保存到npy、txt、csv、xsl、xslx格式的文件,所有操作都有源码附在下方,且有大量的源码配套生成结果图示,可以适应大多数情况下存取文件需求。
python保存数据使用csv和excel哪种文件最好_Python数据持久化-csv、excel篇
weixin_39841717的博客
12-05 1211
2018年7月4日笔记学习目标:1.会使用Python第三方模块操作CSV文件2.会使用Python第三方模块操作EXCEL文件本章内容:Python操作CSV:什么是CSV、Python如何操作CSV文件、Python如何写入CSV文件Python操作EXCEL:利用xlrd模块操作Excel、利用xlwt模块写入EXCEL、xlutils结合xlrd操作EXCELPython操作CSV1.什么...
python 获取csv的列数_Python 笔记
weixin_39713833的博客
11-21 5042
1. 将python列表中的string转为数字, 利用map实现原文件中的数字格式f = open('filename', 'r') inf = list(map(float, f.readlines()[0].strip().split())) print(inf)2. DataFrame读取csv避免第一行作为表头,header=Nonef = pd.read_csv('filename.c...
csv编码格式保存换行问题
weixin_42642483的博客
10-17 3212
之前遇到csv文件编码默认为ANSI,程序读取数据成功,后续调用其他平台API时,无法找到匹配字符,导致代码BUG,调试了好长一段时间;在用excel查看文件时,发现有跳行 import csv list = ['abc,def,gh','我是,一张,弓','中华,有神,功'] with open("rent3.csv","w",encoding='utf-8', newline='') as...
CSV注入漏洞】
SHUY96的博客
12-30 1755
一、背景 最近在开发中,遇到CSV注入漏洞,特此研究一下。我们知道“对于网络安全来说,一切的外部输入都是不可信的”,但在我们大脑的第一印象中会把csv文件当做是普通的文件,未对其保持足够的警惕,从而引起安全漏洞问题。 二、定义 攻击人员通过在CSV中构造恶意的命令或函数,当正常用户使用Excel打开这个CSV文件时,恶意的命令或函数被执行,从而导致攻击的行为。 三、产生原因 1、CSV文件中的几个特殊字符+、-、@、=都可用于在Microsoft Excel中触发公式解释 例如:在CSV单元格中输入“=1+
csv注入java怎么解决_CSV Injection(CSV注入
weixin_34364239的博客
02-27 1289
简介许多web应用程序允许用户将发票模板或用户设置等内容下载到CSV文件中。许多用户选择在Excel、Libre Office或open Office中打开CSV文件。当web应用程序无法正确验证CSV文件的内容时,可能会导致执行一个或多个单元格的内容。漏洞利用最基本的利用方式是动态数据交换# pop a calcDDE ("cmd";"/C calc";"!A0")A0@SUM(1+1)*cmd...
CSV注入
内心不种满鲜花就会长满杂草
04-25 5007
一.概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。 我们知道在 Excel 中是可以运行计算公式的:=1+5,它会将以 = 开头的单元格内容解释成公式并运行,单纯的运行...
csv注入java怎么解决_CSV文件注入漏洞简析
weixin_39907596的博客
02-27 2121
“对于网络安全来说,一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽,究其原因,可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件,未能引起警惕。一、漏洞定义攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。二、漏洞产生的原因1、CSV文件中的几个特殊符号“+、-、@、=”尝试在CS...
webug4.0-csv注入
nex1less的博客
09-01 1045
0x01 1.什么是csv注入? 攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。 原文回答借鉴:https://www.freebuf.com/vul...
linux命令行下xlsx转换成pdf或csv笔记
05-19
XLSX文件转换为CSV格式: 1. 安装xlsx2csv工具 ``` sudo apt-get install xlsx2csv ``` 2. 将XLSX文件转换为CSV ``` xlsx2csv input.xlsx output.csv ``` 将XLSX文件转换为PDF格式: 1. 安装unoconv工具 ``` sudo apt-get install unoconv ``` 2. 将XLSX文件转换为PDF ``` unoconv -f pdf input.xlsx ``` 将CSV文件转换为XLSX格式: 1. 安装csvkit工具 ``` sudo apt-get install csvkit ``` 2. 将CSV文件转换为XLSX ``` in2csv input.csv | csv2xlsx > output.xlsx ``` 将CSV文件转换为PDF格式: 1. 安装csvtotable工具 ``` sudo apt-get install csvtotable ``` 2. 将CSV文件转换为PDF ``` csvtotable input.csv output.pdf ``` 注意: 以上工具都需要在Linux命令行下使用,需要先安装相应的软件包。转换结果可能会有一些格式或排版的问题,需要手动进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值