CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。
在表格中输入=36+1保存后可以成功执行
调用计算器,输入
=1+cmd|' /C calc'!A0
保存再打开
如果不小心点击是
根据需要可将调用计算器命令替换成其他命令
该漏洞可用来钓鱼