misc.log

日常茶飯事とお仕事と

CSVインジェクションなんてものがあるんですね

某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。

The Absurdly Underestimated Dangers of CSV Injection
The Absurdly Underestimated Dangers of CSV Injection

たとえば、セルに

=cmd|' /C calc'!test

などと書いてEnterを押すと、警告が出るので「はい(実行)」を指定すれば計算機が起動します。この「calc」のところにフルパスでプログラム名を指定しておけば、そのPCに入っているたいていのアプリを起動可能です。というわけで、CSVだからと侮っているとExcelなどで開かれて事故が起きる可能性がありますよ、というお話でした。

情報処理教科書 基本情報技術者試験の表計算問題がちゃんと解ける本

情報処理教科書 基本情報技術者試験の表計算問題がちゃんと解ける本

情報リテラシー教科書 Windows 10/Office 2016対応版

情報リテラシー教科書 Windows 10/Office 2016対応版