«

»

Haz 01

CSV Injection Nedir ?

CSV Injection Nedir ?

CSV Injection Nedir ?

Formula Injection ya da Excel Macro Injection olarak da bilinen CSV Injection zafiyeti ilk defa 2014 yılında keşfedilmiştir. Microsoft Office Excel, Libre Office Calc ve Open Office Calc gibi elektronik çizelge programlarındaki formüller kullanılarak kullanıcıların bilgisayarlarında zararlı kod çalıştırılmasına neden olan bir açıktır.

Birçok web uygulaması, kullanıcılar tarafından, bazı verilerin .csv ya da .xls dosya formatında indirilmesine izin vermektedir. Bu veriler bazen bir e-faturada yer alan ödeme bilgileri bazen de bir blog sitesinde tutulan yazılar olabilmektedir.

Nerede ve Nasıl Oluşur?

Öncelikle belirtmek gerekir ki CSV Injection açığı Microsoft Office Excel ya da diğer hesap çizelgesi programlarında oluşan bir açık değildir. Açığın oluştuğu alanlar web uygulamalarında yer alır. Web uygulamasındaki input alanına girilen karakterlerin filtrelenmemesi ya da escape edilmemesi sonucu girilen komut, bir formül olarak .csv dosyası içindeki yerini alır. Kullanıcının dosyayı açmasıyla birlikte enjekte edilmiş olan string ifade çalışır. Microsoft Excel, dosya açılırken iki uyarı verir.

CSV Injection Bir Zafiyet Midir?

CSV Injection açığıyla alakalı diğer bir husus da açık kabul edilip edilmemesiyle alakalıdır. Örneğin Google, kendi ürünlerinde CSV Injection bulunması halinde bug bounty kapsamında değerlendirilmeyeceğini belirtmiştir. Yani herhangi bir Google ürününde CSV Injection bulursanız bir ödül ya da isminize özel bir teşekkür beklemeyin.

Google, CSV’nin bir text dosyası olduğunu, bulundurdukları formüllerin işlevlerinin yan etkiden ziyade normal bir davranıştan ibaret olduğunu ve bunun bir zafiyet anlamına gelmeyeceğini söylemektedir. CSV Injection’dan doğan zararların ancak ve ancak Microsoft Excel gibi hesap çizelgesi programları tarafından engellenmesi (kullanıcının uyarılması gibi) gerektiğini savunmaktadır. Google’nin söylemine göre CSV Injection hakkında yapılabilecek olan düzeltmelerin, dosyanın oluşturulması sırasında (web uygulamasında) değil açılması esnasında olması gerekir.

Öte yandan OWASP, CSV Injection’dan kullanıcının güvenini suistimal eden bir zafiyet olarak bahseder. Her şeye rağmen CSV Injection’un kullanıcılar açısından risk meydana getirebilecek bir durum olduğunu unutmamak gerekir. İster web uygulamasında ister hesap çizelgesi programında önlem alınmamış olsun, nihayetinde CSV dosyasının barındırdığı zararlı kod kullanıcılar için tehlike arz edebilmektedir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>