Kembali lagi di daffa.info. Kali ini saya akan membahas tentang CSV Injection atau yang bisa disebut Formula Injection, bagaimana cara penyerangannya? Yuk disimak dibawah ini

Tidak jarang website memiliki fitur untuk mengekspor data dalam format Comma Separated Values atau yang bisa disebut CSV. untuk analisis selanjutnya atau pemrosesan hilir. Melihat dan menganalisis data yang diekspor bisa dalam Microsoft Excel atau Google Sheets.

CSV Injection, juga dikenal sebagai Formula Injection, Ini terjadi ketika situs web menyematkan input pengguna yang tidak dipercaya ke dalam file CSV tanpa memvalidasi. Ketika pengguna mencoba membuka file CSV menggunakan program spreadsheet apa pun seperti Microsoft Excel atau LibreOffice Calc, setiap input yang dimulai dengan with = ‘akan ditafsirkan oleh perangkat lunak sebagai formula.

Sebagai contoh, ada website mempunyai fitur input kata ke excel. kita masukkan =1+1, dan setelah submit. Kalian export CSV tersebut dan setelah dilihat, akan menghasilkan angka 2

Contoh kasus

Setiap kali file CSV dibuka menggunakan excel, ia terlebih dahulu mem-parsing dan memproses rumus yang dimulai dengan “=” sebelum menampilkan konten apa pun kepada pengguna. Formula yang disuntikkan dalam CSV dapat berisi panggilan ke fungsi sistem apa pun atau mungkin berisi code berbahaya apa pun yang dapat mengeksploitasi sistem korban atau dapat membocorkan data dari file ke penyerang.

Cara penyerangan

  • Menggunakan fungsi Hyperlink

Hyperlink berfungsi untuk membuka dokumen yang disimpan di server jaringan atau Internet. Ketika Anda mengklik input yang berisi fungsi Hyperlink, Microsoft Excel membuka file yang disimpan di link_location. Contohnya seperti ini.

Syntax =HYPERLINK(“https://daffa.info”,”Gans”) daffa.info sebagai link_location dan Gans sebagai friendly_name

Contoh hyperlink

Jadi, dengan memencet “Gans” akan terbuka browser dengan url https://daffa.info

  • Command Execution

Excel memberikan fungsi DDE atau Dynamic Data Exchange, yang befungsi untukdapat menjalankan perintah aplikasi pada jendela Excel.

Syntax: =cmd|’ /C notepad’!’A1′

Notepad Terbuka

Di platform bug bounty seperti hackerone jarang program yang menerima report mengenai CSV Injection, rata-rata yang melaporkan CSV Injection akan berakhir Not Applicable

Cara Memperbaikinya

Bisa dengan memfilter character-character:

  • =
  • +
  • @

Sumber: Payatu