Aktywne Wpisy
jobol_pl 0
Allegro wprowadziło 4-1 model hybrydowy. Pięknie się to czyta: https://www.gowork.pl/opinie_czytaj,6832
#programowanie #programista15k
#programowanie #programista15k
Pracowałbym w modelu 4 x biuro, 1 x zdalnie:
- tak 27.3% (9)
- nie 72.7% (24)
Umeraczyk +70
Dzisiaj w #od0dopentestera o
CSV Injectionczyli wykonaniu kodu przy użyciu Excela.Każdy arkusz kalkulacyjny posiada wbudowane funkcje, które upraszczają prowadzenie rachunkowości.
Oprócz matematycznych operacji możemy dla przykładu stworzyć odnośnik do strony internetowej:
=HIPERŁĄCZE("[https://szurek.pl](https://szurek.pl)"; "Moja strona")#excel pozwala także na wykonywanie zewnętrznych programów przy pomocy dynamicznej wymiany danych - DDE.
Jeżeli więc strona internetowa posiada funkcjonalność eksportu do CSV i przekonamy użytkownika do otwarcia złośliwego pliku:
sep=,Usługa,Kwota
Kawa,10
Obiad,=cmd|' /C calc'!A0
możemy wykonać dowolny kod na komputerze ofiary - w tym wypadku uruchomić kalkulator.
Oczywiście Microsoft zdaje sobie sprawę z tej furtki – przed wykonaniem akcji pyta użytkownika o dodatkową zgodę.
Dlatego też ten błąd nie jest uznawany za krytyczny przez większość firm.
Więcej o ataku CSV Injection.
Przykład prawdziwej podatności w konsoli AWS Amazona.
Jeżeli materiały tego typu Ci się podobają zapraszam na grupę od 0 do pentestera na Facebooku.
#gruparatowaniapoziomu #security #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #programowanie
natomiast informacja ciekawa