oracle siebel crm 8.0,Oracle Siebel CRM 8.1.1 - CSV Injection

最新推荐文章于 2022-05-01 13:04:15 发布
最新推荐文章于 2022-05-01 13:04:15 发布
阅读量101 收藏
点赞数
文章标签: oracle siebel crm 8.0

# Exploit Title: Oracle Siebel CRM 8.1.1 - CSV Injection

# Date: 2018-10-21

# Exploit Author: Sarath Nair aka AceNeon13

# Contact: @AceNeon13

# Vendor Homepage: www.oracle.com

# Software Link: http://www.oracle.com/us/products/applications/siebel/siebel-crm-8-1-1-066196.html

# Version: Oracle Siebel CRM Version 8.1.1 and below

# PoC Exploit: Server Side Request Forgery

# Vulnerable URL: All CSV Export functionalities within the CRM application

# Description: Siebel CRM application was found to be vulnerable to Excel Macro injection vulnerability,

# in places where user input is allowed (in text form) and the input can then be exported in CSV

# form. An attacker can change user information to include in his input a malicious excel function.

=-2+3+cmd|' /C calc'!D

# The function will then be executed on the victim’s machine,

# once the victim exports the details in CSV format and opens the exported file in Microsoft Excel.

# Impact: The vulnerability doesn’t target the web application but rather its users.

# A hypothetical attacker could use it, in order to trick other application users into unwillingly

# executing arbitrary malicious code, potentially leading to full a compromise of their workstation.

# Although excel has implemented certain features to protect its users

# (the user is asked whether he wants to execute a potentially harmful external script),

# the user could easily assume that the content can be trusted since the file is

# extracted from a trusted source.

# Solution: Disable CSV export in all list applets and where CSV export is available.

# https://docs.oracle.com/cd/E95904_01/books/Secur/siebel-security-hardening.html#c_Patch_Management_ai1029938a

########################################

# Vulnerability Disclosure Timeline:

2017-November-20: Discovered vulnerability

2017-November-23: Vendor Notification

2017-November-29: Vendor Response/Feedback

2018-October-04: Vendor Fix/Patch/Workaround

2018-October-21: Public Disclosure

########################################

Warm regards,

Sarath Nair

weixin_39869378
关注
CSV InjectionCSV 注入攻击)
cwxbox
01-28 1243
CSV注入,也称为公式注入,发生在网站在CSV文件中嵌入不可信输入时。当使用电子表格程序(如Microsoft Excel或LibreOffice Calc)打开CSV时,所有以=开头的单元格都会被软件解释为一个公式。
CSV注入
94小菜
11-25 4538
CSV注入 漏洞简介: CSV注入(CSV Injection)漏洞通常会出现在有导出文件(.csv/.xls)功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理: 在xls表格中,输入=1+1,回车后看到表格变成2,+号被当作运算执行了 不只是+号, = 、- 、@这三个符号也会被excel解析成共事 DDE(Dynamic Data Exchange)协议: DDE
csv注入java怎么解决_CSV InjectionCSV注入)
weixin_34364239的博客
02-27 1281
简介许多web应用程序允许用户将发票模板或用户设置等内容下载到CSV文件中。许多用户选择在Excel、Libre Office或open Office中打开CSV文件。当web应用程序无法正确验证CSV文件的内容时,可能会导致执行一个或多个单元格的内容。漏洞利用最基本的利用方式是动态数据交换# pop a calcDDE ("cmd";"/C calc";"!A0")A0@SUM(1+1)*cmd...
生成Excel,处理CSV Injection
u012874209的博客
05-07 1915
1.问题原因:我们在界面填写好数据之后并生成excel,如果数据中是以"=+-@"开头,那么在我们Excel里面显示的时候会出现CSV Injection问题。 2.如何解决: 2.1解决思路:首先生成Excel的workbook,之后再遍历这个workbook,如果遇到以这些特殊字符开头的数据,那么把这些数据拿到之后,在其前面加一个TAB键。 3.核心代码: import org.apa...
CSV注入漏洞原理及利用教程
凝聚力安全团队
10-24 9523
参考链接 https://blog.csdn.net/qq_34304003/article/details/87635582 https://www.freebuf.com/vuls/195656.html
OracleSiebelCRM解决方案.pptx
最新发布
03-23
OracleSiebel CRM解决方案 OracleSiebel CRM解决方案是Oracle公司的一款客户关系管理(CRM)解决方案,旨在帮助企业实现业务增长、提高客户满意度和忠诚度。该解决方案集成了多种功能,包括销售管理、市场营销...
Oracle Siebel CRM软件被评为客户服务管理软件领域的领导者.pdf
10-10
Oracle Siebel CRM软件是客户服务管理软件领域的领导者,这一荣誉来自于权威市场调查公司Forrester Research的评估。Forrester在其2007年第二季度的《Forrester Wave评估:客户服务管理软件》报告中,基于180项分类...
Oracle Siebel CRM:专业深度与个性化服务为客户添力.pdf
10-09
Oracle Siebel CRM是一款由甲骨文公司提供的专业级客户关系管理解决方案,专为全球各行各业的企业设计,无论企业规模大小,都能满足其在客户接触点的各种需求。Siebel CRM套件包含多个模块,如电子开单、订单管理、...
Radware AppDirector完成与Oracle Siebel CRM8.1版本集成认证.pdf
10-10
【Radware AppDirector与Oracle Siebel CRM8.1集成认证】 Radware的AppDirector是一款集成应用交付控制器(ADC),它已经成功通过了与Oracle Siebel CRM 8.1版本的集成认证。这个认证意味着AppDirector 2.11能够无缝...
Oracle Siebel8.1.1系统介绍
06-09
Oracle Siebel8.1.1系统介绍
Oracle Siebel和SAP CRM这两款CRM系统比较
03-16
来自于Oracle顾问方提供的资料,但我个人的实践也证明Siebel目前仍然领选SAP CRM不少,但可惜SAP市场做得实在是好,还有ERP强大的后盾。 ps. 我似乎不小心成为第一个分享资料的人。i\'m luck man.:)
Web安全-浅析CSV注入漏洞的原理及利用
道阻且长,行则将至。
05-01 4181
文章目录漏洞简介漏洞原理漏洞利用命令执行钓鱼攻击反弹shell漏洞实例Twitter网站Hackerone漏洞挖掘漏洞防御 漏洞简介 CSV 注入(CSV Injection)漏洞通常会出现在有导出文件 (.csv/.xls) 功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL 会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理 人们通常认为 CSV 或 xls 文件中包含的文本不会有任何安全风险,这是比较大的一个误区。
应用安全系列之十:CSV注入
jimmyleeee的专栏
03-03 4897
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 关于CSV注入,可能平时关注的人比较少,不过,只要有以csv文件格式导出数据,它就可能存在。很多系统都会导出csv,将数据用于分析。 首先介绍一下CSV的含义,CSV就是comma-separated-values,就是使用逗号分开的一串值,当使用excel打开时,逗号隔开的内容会被展开为对应行和列的一个cell的值。 ..
csv注入初探以及利用
Cwh的个人博客
02-28 3420
简介 之前进行渗透的时候经常会碰见csv,excel导入的功能。也思考过潜在安全隐患,今天刚好看到fb里面的一篇文章,fb上的介绍并不详细,对于其中的利用方式很感兴趣,基于此进行了一番学习。 fb链接 https://www.freebuf.com/vuls/195656.html 漏洞介绍 CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公...
安全测试-CSV注入漏洞
热门推荐
iSelenium
11-01 1万+
  CSV Injection Vulnerability 2016-05-17 Author: Evi1m0 (知道创宇404安全实验室) Date: 2016-05-17 0x01 概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabiliti...
Oracle Siebel CRM8.0架构解析与未来发展里程碑
Oracle Siebel CRM是一款历史悠久且在业内享有盛誉的客户关系管理(CRM)解决方案,自1993年成立以来,其规模和功能不断扩展,从最初的简单系统发展到企业级、集成的、行业特定的多层次CRM平台。该产品的发展历程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值