Aktywne Wpisy
sorek +105
2h stania w kolejce ale warto było, z żoną zagłosowaliśmy ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)
#wybory #konfederacja #korwin #uk #polityka
#wybory #konfederacja #korwin #uk #polityka
MrRidiculous +951
36,8 to jest #!$%@? niepojęte. Nawet zmiana władzy mi nie osłodzi tego, że żyję w kraju z tyloma debilami
#wybory
#wybory
Dzisiaj w #od0dopentestera o
CSV Injection
czyli wykonaniu kodu przy użyciu Excela.Każdy arkusz kalkulacyjny posiada wbudowane funkcje, które upraszczają prowadzenie rachunkowości.
Oprócz matematycznych operacji możemy dla przykładu stworzyć odnośnik do strony internetowej:
=HIPERŁĄCZE("[https://szurek.pl](https://szurek.pl)"; "Moja strona")
#excel pozwala także na wykonywanie zewnętrznych programów przy pomocy dynamicznej wymiany danych - DDE.
Jeżeli więc strona internetowa posiada funkcjonalność eksportu do CSV i przekonamy użytkownika do otwarcia złośliwego pliku:
sep=,
Usługa,Kwota
Kawa,10
Obiad,=cmd|' /C calc'!A0
możemy wykonać dowolny kod na komputerze ofiary - w tym wypadku uruchomić kalkulator.
Oczywiście Microsoft zdaje sobie sprawę z tej furtki – przed wykonaniem akcji pyta użytkownika o dodatkową zgodę.
Dlatego też ten błąd nie jest uznawany za krytyczny przez większość firm.
Więcej o ataku CSV Injection.
Przykład prawdziwej podatności w konsoli AWS Amazona.
Jeżeli materiały tego typu Ci się podobają zapraszam na grupę od 0 do pentestera na Facebooku.
#gruparatowaniapoziomu #security #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #programowanie
natomiast informacja ciekawa