當前位置:成語大全網 - 書法字典 - ptest有效負載

ptest有效負載

現在許多應用程序都提供導出電子表格的功能(不限於Web應用程序)。因為許多導出的表單數據來自用戶控制,例如投票應用程序和電子郵件導出。攻擊方法類似於XSS:所有輸入都不可信。

我們知道計算公式可以在Excel中運行:=1+5。它將把以=開頭的單元格內容解釋為公式並運行它。簡單地運行計算公式可能沒有用,但這裏可以使用DDE。

動態數據交換(DDE)是微軟的壹項古老技術。它是Windows下的跨進程通信協議,支持Microsoft Excel、LibreOffice和Apache OpenOffice。

通過poi解析Excel實現csv,可以準確判斷Excel單元格中是否存在csv註入並進行純化。

根據實際測量,Excel的兩種單元格類型會導致csv註入,即公式類型(表達式類型)和字符串類型(字符串類型)。以下是這兩種方式的防禦措施。

/s/g3Tl7KirIuIr5MXmChkfog

通過root用戶登錄系統後,執行以下命令生成壹個big.csv的大文件,文件大小可以自己控制(文件大小為1024 1024 4096 = 4294967296字節),如下所示:

超大文件用zip命令壓縮,壓縮後的文件只有幾兆大小,所以做了壹個zip炸彈文件。如下所示: