问题标签 [csv-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - asp.net 应用程序中导出功能中的 CSV 注入
在提交表单时,我在其中一个字段中插入易受攻击的字符,例如=cmd|'/C calc'!A0. 所以在安全方面它被称为导出功能中的 CSV 注入
我已经为上述错误编写了这样的代码。但它不工作
请建议如何停止此错误。
python - 如何防止 django 应用程序中的 csv 注入
我有一个具有文件上传功能的 Django 应用程序。我正在使用 Clamav 扫描文件中的病毒。我也想在我的应用程序中防止 CSV 注入。我找到了与它相关的这个stackoverflow链接,但没有帮助。请建议如何使用 ClamAV 在我的 Django 应用程序中防止 CSV 注入。
node.js - 如何避免对包含 URL 的字段进行 CSV 注入?
我正在尝试保护我的应用程序以防止 CSV 注入。该漏洞适用于用户下载 CSV 导出文件时。
我现在处理它的方式是删除字符:= + - @
https://owasp.org/www-community/attacks/CSV_Injection
问题是我在数据库中有一个包含 URL的“描述”字段。如果我检查字符是否存在并转义字符,它也会破坏 URL。
有没有办法通过正则表达式来处理这个问题?
例子:
预期行为:
使用的技术:NodeJS、Sequelize、MySQL
java - 如何修复 JAVA 代码中的 CWE 1236(CSV 文件中公式元素的不正确中和)?
我正在使用org.apache.commons.csv.CSVPrinter在我的代码中打印一些字符串值。csvprinter.print(mystring)Veracode在静态扫描期间在该行中检测到 CWE 1236 缺陷。
根据我对这个问题的理解,我已经尝试过StringUtils.stripStart(mystring, "=+-@\\r\\t"),然后在 `csvprinter.print 语句中使用了更新的 mystring 值。但是 veracode 仍然在同一行显示相同的问题。
另外,我得到了一个解决方案,比如在以特殊字符(=、+、@、-、制表符、回车符等)开头的值之前添加单引号(')字符,这样这些公式元素就不会被执行我们尝试通过电子表格打开/查看这些内容。</p>
</p>
所以,我已经尝试使用下面的代码,仍然 veracode 静态重新扫描报告在与之前相同的位置标记相同的问题。
</p>
此外,我已经为那些公式元素尝试了普通的 if-else 块,也尝试了StringUtils.escapeCsv(mystring),仍然没有运气。
我只想从 veracode 的角度清除这个缺陷,而不妨碍现有的功能。如果有人对此有一些 JAVA 代码,那将对我有所帮助。
有人可以建议我对此提出一些解决方案。是否有任何用于 JAVA 的 veracode 清理功能列表来解决此缺陷?
c# - 布尔值的 C# 条件不一样
我有一段代码,我在其中设置true或false根据条件设置。
下面是那个代码
我已经检查了两个布尔条件,但它总是进入strReturnId主函数。
下面是代码。
更新我的意思是总是在
strReturnId = "Something went wrong due to malicious script attack..!!!";