CN114662097A - Csv文件注入攻击的检测方法和装置、电子设备和存储介质 - Google Patents
Csv文件注入攻击的检测方法和装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114662097A CN114662097A CN202210411365.8A CN202210411365A CN114662097A CN 114662097 A CN114662097 A CN 114662097A CN 202210411365 A CN202210411365 A CN 202210411365A CN 114662097 A CN114662097 A CN 114662097A
- Authority
- CN
- China
- Prior art keywords
- csv file
- data
- preset
- file
- csv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002347 injection Methods 0.000 title claims abstract description 65
- 239000007924 injection Substances 0.000 title claims abstract description 65
- 238000001514 detection method Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 41
- 238000000926 separation method Methods 0.000 claims description 31
- 238000004891 communication Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 12
- 238000002955 isolation Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 239000000243 solution Substances 0.000 description 6
- 230000014509 gene expression Effects 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种CSV文件注入攻击的检测方法和装置、电子设备和存储介质,其中,该方法包括:获取待检测的CSV文件;通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在CSV文件中的目标位置;基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。通过本申请,解决了相关技术中存在的缺乏对CSV注入攻击的检测手段的问题。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种CSV文件注入攻击的检测方法和装置、电子设备和存储介质。
背景技术
很多时候,在网络安全实际应用管理中,人们都对于外来输入提高警惕而忽视了内部数据的一些安全问题,把CSV(Comma-SeparatedValues,字符分隔值)文件当成了简单的文本文件,未能引起重视,而且导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。此外,在渗透中遇到导出功能时,测试人员一般会将重点放在:任意文件下载,或者越权查看等对网站有实际危害行为上,而忽略CSV注入,因为它不会对网站本身产生危害,而是对终端用户造成任意OS命令执行,信息泄露等其他危害。而在一些更平常的使用中,CSV注入还能通过跳转网页起到钓鱼的目的。
由于Excel、Word、Rtf、Outlook都使用DDE(dynamic data exchange,动态数据交换)的通迅机制,根据外部应用的处理结果来更新内容。因此,如果攻击者制作包含DDE公式的CSV文件,那么用户在打开该文件时,Excel就会尝试执行外部应用达到其攻击目的。
当前对于SQL注入、命令注入等常见注入攻击的检测方法很多,但由于CSV注入攻击的攻击条件比较苛刻,业界对其关注度不高,所以相关检测手段匮乏。
发明内容
本申请提供了一种CSV文件注入攻击的检测方法和装置、电子设备和存储介质,以至少解决相关技术缺乏对CSV注入攻击的检测手段的问题。
根据本申请实施例的一个方面,提供了一种CSV文件注入攻击的检测方法,该方法包括:
获取待检测的CSV文件;
通过数据安全读取方案对所述CSV文件进行数据读取,得到目标文本;
利用预设检测方案对所述目标文本进行检测,在确定所述目标文本中注入了所述攻击数据的情况下,确定攻击数据处在所述CSV文件中的目标位置;
基于所述目标位置发送报警信号,以提示所述CSV文件内包含所述攻击数据。
根据本申请实施例的另一个方面,还提供了一种CSV文件注入攻击的检测装置,该装置包括:
第一获取单元,用于获取待检测的CSV文件;
读取单元,用于通过数据安全读取方案对所述CSV文件进行数据读取,得到目标文本;
检测单元,用于利用预设检测方案对所述目标文本进行检测,在确定所述目标文本中注入了所述攻击数据的情况下,确定攻击数据处在所述CSV文件中的目标位置;
发送单元,用于基于所述目标位置发送报警信号,以提示所述CSV文件内包含所述攻击数据。
可选地,检测单元包括:
获取模块,用于获取动态数据交换协议对应设置的多个预设代码和多个预设字符,其中,所述预设代码为与所述动态数据交换协议相关的、用于表征所述可执行文件和外部应用程序的字符串,所述预设字符用于表征打开所述CSV文件时需执行的命令首字符;
匹配模块,用于将所述目标文本与所述预设字符、预设代码进行匹配,得到匹配结果;
判断模块,用于根据所述匹配结果,判断所述CSV文件中是否注入所述攻击数据。
可选地,匹配模块包括:
检测子单元,用于对所述目标文本中包含的分隔值进行检测;
匹配子单元,用于在确定所述分隔值与任一所述预设字符相同的情况下,将位于所述分隔值之后的参考数据与所述预设代码进行字符匹配,得到所述匹配结果。
可选地,该装置还包括:
确定单元,用于在所述对所述目标文本中包含的分隔值进行检测之后,在确定所述分隔值与任一所述预设字符不相同的情况下,循环检测下一分隔值,并将所述下一分隔值与所述预设字符进行匹配,直到执行循环次数等于预设阈值时,仍未存在与所述预设字符匹配相同的所述分隔值,则确定所述CSV文件中未注入所述攻击数据。
可选地,该装置还包括:
第二获取单元,用于获取所述CSV文件的文件信息,其中,所述文件信息包括所述CSV文件的占用空间值、所述CSV文件的原始存储地址、所述CSV文件的被检测时间、所述CSV文件是否注入攻击数据、所述CSV文件的所述目标文本注入所述攻击数据的所述目标位置;
存入单元,用于将所述文件信息存入日志内。
可选地,该装置还包括:
隔离单元,用于在所述通过数据安全读取方案对所述CSV文件进行数据读取之前,利用隔离工具将所述目标文件与目标***进行隔离。
可选地,该装置还包括:
启动单元,用于在所述确定所述CSV文件中未注入所述攻击数据之后,启动所述CSV文件所在的目标程序,基于所述目标程序打开所述CSV文件,使得使用用户正常使用所述CSV文件。
根据本申请实施例的又一个方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;其中,存储器,用于存储计算机程序;处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行上述任一实施例中的方法步骤。
根据本申请实施例的又一个方面,还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一实施例中的方法步骤。
在本申请实施例中,通过获取待检测的CSV文件;通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在目标文本中的目标位置;基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。由于本申请实施例可以在用户使用目标程序(如Excel)打开CSV文件前对CSV文件进行检测,查看其是否存在CSV注入攻击并向用户预警,从而有效的使用户避免受到CSV注入攻击的影响和危害,进而解决了相关技术缺乏对CSV注入攻击的检测手段的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种可选的CSV文件注入攻击的检测方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的CSV文件注入攻击的检测方法的流程示意图;
图3是根据本申请实施例的一种可选的用户打开CSV文件的整个使用过程的流程示意图;
图4是根据本申请实施例的另一种可选的CSV文件注入攻击的检测过程的流程示意图;
图5是根据本申请实施例的一种可选的CSV文件注入攻击的检测装置的结构框图;
图6是根据本申请实施例的一种可选的电子设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,介绍一些基础概念:
CSV文件:
CSV是逗号分隔值,有时也称为字符分隔值,因为分隔字符也可以不是逗号,其CSV文件以纯文本形式存储表格数据(数字和文本)。纯文本意味着该文件是一个字符序列,不含必须像二进制数字那样被解读的数据。CSV文件由任意数目的记录组成,记录间以某种换行符分隔;每条记录由字段组成,字段间的分隔符是其它字符或字符串,最常见的是逗号或制表符。通常,所有记录都有完全相同的字段序列。通常都是纯文本文件。
CSV注入攻击:
CSV注入攻击是将包含恶意命令的Excel公式***到可以导出CSV或者xls等格式的文本中,当用户在Excel中打开CSV文件时,文件会转换为Excel格式并提供Excel公式的执行功能,从而执行恶意代码命令,控制用户计算机。
DDE:
DDE是Windows下进程间通信协议,是一种动态数据交换机制,使用DDE通讯需要两个Windows应用程序,其中一个作为服务器处理信息,另外一个作为客户机从服务器获得信息。(一个DDE对话是由参与会话的窗口句柄来标识的)DDE支持Microsoft Excel,LibreOffice和Apache OpenOffice。DDE在Excel中的一种用途,就是根据外部应用程序的结果来更新单元格的内容,CSV注入攻击便是基于此机制进行攻击的。
正则表达式:
正则表达式是一种文本模式,包括普通字符(例如,a到z之间的字母)和特殊字符(称为"元字符")。正则表达式使用单个字符串来描述、匹配一系列匹配某个句法规则的字符串。
根据本申请实施例的一个方面,提供了一种CSV文件注入攻击的检测方法。可选地,在本实施例中,上述CSV文件注入攻击的检测方法可以应用于如图1所示的硬件环境中。如图1所示,终端102中可以包含有存储器104、处理器106和显示器108(可选部件)。终端102可以通过网络110与服务器112进行通信连接,该服务器112可用于为终端或终端上安装的客户端提供服务(如应用服务等),可在服务器112上或独立于服务器112设置数据库114,用于为服务器112提供数据存储服务。此外,服务器112中可以运行有处理引擎116,该处理引擎116可以用于执行由服务器112所执行的步骤。
可选地,终端102可以但不限于为可以计算数据的终端,如移动终端(例如手机、平板电脑)、笔记本电脑、PC(Personal Computer,个人计算机)机等终端上,上述网络可以包括但不限于无线网络或有线网络。其中,该无线网络包括:蓝牙、WIFI(Wireless Fidelity,无线保真)及其他实现无线通信的网络。上述有线网络可以包括但不限于:广域网、城域网、局域网。上述服务器112可以包括但不限于任何可以进行计算的硬件设备。
此外,在本实施例中,上述CSV文件注入攻击的检测方法还可以但不限于应用于处理能力较强大的独立的处理设备中,而无需进行数据交互。例如,该处理设备可以但不限于为处理能力较强大的终端设备,即,上述CSV文件注入攻击的检测方法中的各个操作可以集成在一个独立的处理设备中。上述仅是一种示例,本实施例中对此不作任何限定。
可选地,在本实施例中,上述CSV文件注入攻击的检测方法可以由服务器112来执行,也可以由终端102来执行,还可以是由服务器112和终端102共同执行。其中,终端102执行本申请实施例的CSV文件注入攻击的检测方法也可以是由安装在其上的客户端来执行。
以运行在服务器为例,图2是根据本申请实施例的一种可选的CSV文件注入攻击的检测方法的流程示意图,如图2所示,该方法的流程可以包括以下步骤:
步骤S201,获取待检测的CSV文件;
步骤S202,通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;
步骤S203,利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在CSV文件中的目标位置;
步骤S204,基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。
可选地,在本申请实施例中,服务器先确定和获取到待检测的CSV文件,在对CSV文件检测前,需要利用隔离工具,比如沙箱隔离的方式对其隔离以防止其与其他攻击联合攻击手段的实现,对文件检测时提供一个安全的环境,然后通过安全的数据流的数据文本读取方法(或方案)对该CSV文件进行数据读取,进而读取到目标文本。
之后利用本申请实施例设置的预设检测方案对目标文本进行攻击数据的检测,预设检测方案即为,将数据安全读取方案执行中产生的目标文本进行检测分析,以确认是否存在CSV注入攻击的恶意代码的方案。
如果确定出目标文本中注入了攻击数据(即恶意代码)时,服务器就对攻击数据在目标文本中的位置进行定位,进而得到攻击数据处在CSV文件中的目标位置,然后基于该目标位置向使用用户发起报警信号,以告知使用用户该CSV文件内注入攻击数据,不能打开CSV文件。
如果检测到CSV文件安全后,自动启动当前使用用户正在使用的目标程序,比如Excel,然后直接对Excel打开即可。
在本申请实施例中,通过获取待检测的CSV文件;通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在目标文本中的目标位置;基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。由于本申请实施例可以在用户使用目标程序(如Excel)打开CSV文件前对CSV文件进行检测,查看其是否存在CSV注入攻击并向用户预警,从而有效的使用户避免受到CSV注入攻击的影响和危害,进而解决了相关技术缺乏对CSV注入攻击的检测手段的问题。
作为一种可选实施例,如图3,图3是根据本申请实施例的一种可选的用户打开CSV文件的整个使用过程的流程示意图,具体为:
使用用户使用该检测方法打开CSV文件,服务器的检测方法对其数据进行检测,当检查到CSV文件中存在CSV注入攻击的注入语句时,就会将其隔离到沙盒中并提醒使用用户该文件不安全。而当没有检查到CSV注入攻击的语句时,方法将自启动Excel程序并使用Excel程序打开CSV文件以供使用用户正常使用。
作为一种可选实施例,利用预设检测方案对目标文本进行检测包括:
获取动态数据交换协议对应设置的多个预设代码和多个预设字符,其中,预设代码为与动态数据交换协议相关的、用于表征可执行文件和外部应用程序的字符串,预设字符用于表征打开CSV文件时需执行的命令首字符;
将目标文本与预设字符、预设代码进行匹配,得到匹配结果;
根据匹配结果,判断CSV文件中是否注入攻击数据。
可选地,CSV注入攻击的实现基于Excel在打开CSV文件时通过DDE(即动态数据交换协议)对其他程序的调用,而CSV文件本身只是一纯文本文件。所以对其是否存在CSV注入的检测即判断CSV文件中是否存在带有DEE协议实现的相关代码。
具体地,服务器获取到动态数据交换协议预先设置的多个预设代码和多个字符,其中,预设代码可以是一些文件后缀字符,如,cmd”、“msExcel”、“msiexec”等;也可以是一些环境中是全局可用的文件名的任何外部应用程序字符串,例如,“regsvr32”、“certutil”、“rundll32”等,预设字符可以是一些Excel执行该预设字符,即打开CSV文件的运行命令的首字符,比如,“=”、“+”、“-”和“@”等,然后将目标文本内的所有数据与预设字符以及预设代码进行匹配,根据匹配结果,判断CSV文件中是否注入攻击数据。
在将目标文本与预设字符、预设代码进行匹配时,需要先进行预设字符的匹配,只有在目标文本中存在该预设字符时,才进一步地将目标文本跟预设代码再进行比如正则表达式的匹配,最终得到匹配结果。
进一步地,对目标文本中包含的分隔值进行检测,在确定分隔值与任一预设字符相同的情况下,将位于分隔值之后的参考数据与预设代码进行字符匹配,然后在完全匹配或匹配度大于匹配度阈值(预先设定的,可以是90%等)时,就认为CSV文件中注入了攻击数据,否则认为CSV文件中未注入攻击数据。
同时,在对目标文本中包含的分隔值进行检测时,如果本次检测中未在目标文本中发现与上述预设字符相同的分隔值时,则检测下一分隔值,直到执行的循环次数等于预设阈值时,认为目标文本中不存在预设字符,这时也直接判定CSV文件中未注入攻击数据。
对于CSV文件中未注入攻击数据的处理方式为:启动CSV文件所在的目标程序,基于目标程序打开CSV文件,使得使用用户正常使用CSV文件。
在本申请实施例中,使用用户通过设置CSV文件的默认打开方式为本申请实施例设置的注入攻击的检测方式进行打开,就能使其在平时正常使用中不会使用其他危险的方式打开的同时又对其文件进行了安全检测,从而在保障使用时方便的同时保障了安全。
作为一种可选实施例,该方法还包括:
获取CSV文件的文件信息,其中,文件信息包括CSV文件的占用空间值、CSV文件的原始存储地址、CSV文件的被检测时间、CSV文件是否注入攻击数据、CSV文件的目标文本注入攻击数据的目标位置;
将文件信息存入日志内。
可选地,本申请实施例的服务器内包含日志记录模块,服务器获取对CSV文件的一些文件信息进行记录,比如记录:受检测文件的大小(即占用的空间值)、文件的原始存储地址、检测时间、是否存在CSV注入攻击、注入攻击的定位等信息进行记录以方便用户查看以及安全人员对攻击的定位分析。
基于上述流程,可参见图4,图4是根据本申请实施例的另一种可选的CSV文件注入攻击的检测过程的流程示意图,具体为:
检测方法在打开CSV文件时会先通过沙箱隔离对其进行与目标***间的隔离,并在隔离出的安全环境中通过数据安全读取方案进行安全的数据读取。在安全读取完CSV文件中的文件后,本申请实施例的注入攻击的检测方法会对读取的数据进行注入检测,看是否存在注入的恶意代码。如果存在则进入分支1,对检测到的恶意代码进行定位并报警提示用户该文件不安全,再对其恶意代码的定位信息等信息记录到日志中。如果不存在,则进入分支2,由Excel启动模块使用Excel程序正常打开该CSV文件供使用用户正常使用。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM(Read-Only Memory,只读存储器)/RAM(Random Access Memory,随机存取存储器)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述CSV文件注入攻击的检测方法的CSV文件注入攻击的检测装置。图5是根据本申请实施例的一种可选的CSV文件注入攻击的检测装置的结构框图,如图5所示,该装置可以包括:
第一获取单元501,用于获取待检测的CSV文件;
读取单元502,用于通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;
检测单元503,用于利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在CSV文件中的目标位置;
发送单元504,用于基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。
需要说明的是,该实施例中的第一获取单元501可以用于执行上述步骤S201,该实施例中的读取单元502可以用于执行上述步骤S202,该实施例中的检测单元503可以用于执行上述步骤S203,该实施例中的读取单元504可以用于执行上述步骤S204。
通过上述模块,可以在用户使用目标程序(如Excel)打开CSV文件前对CSV文件进行检测,查看其是否存在CSV注入攻击并向用户预警,从而有效的使用户避免受到CSV注入攻击的影响和危害,进而解决了相关技术缺乏对CSV注入攻击的检测手段的问题。
作为一种可选的实施例,检测单元包括:
获取模块,用于获取动态数据交换协议对应设置的多个预设代码和多个预设字符,其中,预设代码为与动态数据交换协议相关的、用于表征可执行文件和外部应用程序的字符串,预设字符用于表征打开CSV文件时需执行的命令首字符;
匹配模块,用于将目标文本与预设字符、预设代码进行匹配,得到匹配结果;
判断模块,用于根据匹配结果,判断CSV文件中是否注入攻击数据。
作为一种可选的实施例,匹配模块包括:
检测子单元,用于对目标文本中包含的分隔值进行检测;
匹配子单元,用于在确定分隔值与任一预设字符相同的情况下,将位于分隔值之后的参考数据与预设代码进行字符匹配,得到匹配结果。
作为一种可选的实施例,该装置还包括:
确定单元,用于在对目标文本中包含的分隔值进行检测之后,在确定分隔值与任一预设字符不相同的情况下,循环检测下一分隔值,并将下一分隔值与预设字符进行匹配,直到执行循环次数等于预设阈值时,仍未存在与预设字符匹配相同的分隔值,则确定CSV文件中未注入攻击数据。
作为一种可选的实施例,该装置还包括:
第二获取单元,用于获取CSV文件的文件信息,其中,文件信息包括CSV文件的占用空间值、CSV文件的原始存储地址、CSV文件的被检测时间、CSV文件是否注入攻击数据、CSV文件的目标文本注入攻击数据的目标位置;
存入单元,用于将文件信息存入日志内。
作为一种可选的实施例,该装置还包括:
隔离单元,用于在通过数据安全读取方案对CSV文件进行数据读取之前,利用隔离工具将目标文件与目标***进行隔离。
作为一种可选的实施例,该装置还包括:
启动单元,用于在确定CSV文件中未注入攻击数据之后,启动CSV文件所在的目标程序,基于目标程序打开CSV文件,使得使用用户正常使用CSV文件。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的又一个方面,还提供了一种用于实施上述CSV文件注入攻击的检测方法的电子设备,该电子设备可以是服务器、终端、或者其组合。
图6是根据本申请实施例的一种可选的电子设备的结构框图,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601、通信接口602和存储器603通过通信总线604完成相互间的通信,其中,
存储器603,用于存储计算机程序;
处理器601,用于执行存储器603上所存放的计算机程序时,实现如下步骤:
获取待检测的CSV文件;
通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;
利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在CSV文件中的目标位置;
基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。
可选地,在本实施例中,上述的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线、或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM,也可以包括非易失性存储器(non-volatile memory),例如,至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
作为一种示例,如图6所示,上述存储器603中可以但不限于包括上述CSV文件注入攻击的检测装置中的第一获取单元501、读取单元502、检测单元503、发送单元504。此外,还可以包括但不限于上述CSV文件注入攻击的检测装置中的其他模块单元,本示例中不再赘述。
上述处理器可以是通用处理器,可以包含但不限于:CPU(Central ProcessingUnit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(DigitalSignal Processing,数字信号处理器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
此外,上述电子设备还包括:显示器,用于显示CSV文件注入攻击的检测结果。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图6所示的结构仅为示意,实施上述CSV文件注入攻击的检测方法的设备可以是终端设备,该终端设备可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图6其并不对上述电子设备的结构造成限定。例如,终端设备还可包括比图6中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图6所示的不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、ROM、RAM、磁盘或光盘等。
根据本申请实施例的又一个方面,还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行CSV文件注入攻击的检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
获取待检测的CSV文件;
通过数据安全读取方案对CSV文件进行数据读取,得到目标文本;
利用预设检测方案对目标文本进行检测,在确定目标文本中注入了攻击数据的情况下,确定攻击数据处在CSV文件中的目标位置;
基于目标位置发送报警信号,以提示CSV文件内包含攻击数据。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例中对此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
根据本申请实施例的又一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中;计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一个实施例中的CSV文件注入攻击的检测方法步骤。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例CSV文件注入攻击的检测方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例中所提供的方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种CSV文件注入攻击的检测方法,其特征在于,所述方法包括:
获取待检测的CSV文件;
通过数据安全读取方案对所述CSV文件进行数据读取,得到目标文本;
利用预设检测方案对所述目标文本进行检测,在确定所述目标文本中注入了攻击数据的情况下,确定所述攻击数据处在所述CSV文件中的目标位置;
基于所述目标位置发送报警信号,以提示所述CSV文件内包含所述攻击数据。
2.根据权利要求1所述的方法,其特征在于,所述利用预设检测方案对所述目标文本进行检测包括:
获取动态数据交换协议对应设置的多个预设代码和多个预设字符,其中,所述预设代码为与所述动态数据交换协议相关的、用于表征可执行文件和外部应用程序的字符串,所述预设字符用于表征打开所述CSV文件时需执行的命令首字符;
将所述目标文本与所述预设字符、所述预设代码进行匹配,得到匹配结果;
根据所述匹配结果,判断所述CSV文件中是否注入所述攻击数据。
3.根据权利要求2所述的方法,其特征在于,所述将所述目标文本与所述预设字符、所述预设代码进行匹配,得到匹配结果包括:
对所述目标文本中包含的分隔值进行检测;
在确定所述分隔值与任一所述预设字符相同的情况下,将位于所述分隔值之后的参考数据与所述预设代码进行字符匹配,得到所述匹配结果。
4.根据权利要求3所述的方法,其特征在于,在所述对所述目标文本中包含的分隔值进行检测之后,所述方法包括:
在确定所述分隔值与任一所述预设字符不相同的情况下,循环检测下一分隔值,并将所述下一分隔值与所述预设字符进行匹配,直到执行循环次数等于预设阈值时,仍未存在与所述预设字符匹配相同的所述分隔值,则确定所述CSV文件中未注入所述攻击数据。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述CSV文件的文件信息,其中,所述文件信息包括所述CSV文件的占用空间值、所述CSV文件的原始存储地址、所述CSV文件的被检测时间、所述CSV文件是否注入攻击数据、所述CSV文件的所述目标文本注入所述攻击数据的所述目标位置;
将所述文件信息存入日志内。
6.根据权利要求1所述的方法,其特征在于,在所述通过数据安全读取方案对所述CSV文件进行数据读取之前,所述方法还包括:
利用隔离工具将所述目标文件与目标***进行隔离。
7.根据权利要求4所述的方法,其特征在于,在所述确定所述CSV文件中未注入所述攻击数据之后,所述方法还包括:
启动所述CSV文件所在的目标程序,基于所述目标程序打开所述CSV文件,使得使用用户正常使用所述CSV文件。
8.一种CSV文件注入攻击的检测装置,其特征在于,所述装置包括:
第一获取单元,用于获取待检测的CSV文件;
读取单元,用于通过数据安全读取方案对所述CSV文件进行数据读取,得到目标文本;
检测单元,用于利用预设检测方案对所述目标文本进行检测,在确定所述目标文本中注入了攻击数据的情况下,确定所述攻击数据处在所述CSV文件中的目标位置;
发送单元,用于基于所述目标位置发送报警信号,以提示所述CSV文件内包含所述攻击数据。
9.一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信,其特征在于,
所述存储器,用于存储计算机程序;
所述处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行权利要求1至7中任一项所述的方法步骤。
10.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现权利要求1至7中任一项中所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210411365.8A CN114662097A (zh) | 2022-04-19 | 2022-04-19 | Csv文件注入攻击的检测方法和装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210411365.8A CN114662097A (zh) | 2022-04-19 | 2022-04-19 | Csv文件注入攻击的检测方法和装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114662097A true CN114662097A (zh) | 2022-06-24 |
Family
ID=82035681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210411365.8A Pending CN114662097A (zh) | 2022-04-19 | 2022-04-19 | Csv文件注入攻击的检测方法和装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114662097A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
-
2022
- 2022-04-19 CN CN202210411365.8A patent/CN114662097A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
CN115118493B (zh) * | 2022-06-27 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
CN106815524B (zh) | 恶意脚本文件的检测方法及装置 | |
CN111414374B (zh) | 一种区块链交易并发处理方法、装置及设备 | |
CN112231702B (zh) | 应用保护方法、装置、设备及介质 | |
CN106465076B (zh) | 一种控制短信息读取的方法和终端 | |
CN106030527B (zh) | 将可供下载的应用程序通知用户的***和方法 | |
CN111861465A (zh) | 基于智能合约的检测方法及装置、存储介质、电子装置 | |
CN111538665A (zh) | 程序的测试方法和装置、存储介质、电子装置 | |
CN114662097A (zh) | Csv文件注入攻击的检测方法和装置、电子设备和存储介质 | |
US10275596B1 (en) | Activating malicious actions within electronic documents | |
US10264011B2 (en) | Persistent cross-site scripting vulnerability detection | |
CN111222181B (zh) | Ai模型的监管方法、***、服务器及存储介质 | |
CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
CN112153059A (zh) | 邮件验证码获取方法、装置、电子设备和存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN114996708A (zh) | 涉诈手机应用研判方法、装置、电子设备及存储介质 | |
CN113886812A (zh) | 检测防护方法、***、计算机设备及可读存储介质 | |
CN108874462A (zh) | 一种浏览器行为获取方法、装置、存储介质及电子设备 | |
CN114491661A (zh) | 基于区块链的日志防篡改方法及*** | |
CN114491528A (zh) | 恶意软件的检测方法、装置和设备 | |
CN110875919B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN113806737A (zh) | 一种恶意进程风险等级评估方法、终端设备及存储介质 | |
CN112329424A (zh) | 业务数据的处理方法和装置、存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |