misc.log

日常茶飯事とお仕事と

CSVインジェクションなんてものがあるんですね

某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。

The Absurdly Underestimated Dangers of CSV Injection
The Absurdly Underestimated Dangers of CSV Injection

たとえば、セルに

=cmd|' /C calc'!test

などと書いてEnterを押すと、警告が出るので「はい(実行)」を指定すれば計算機が起動します。この「calc」のところにフルパスでプログラム名を指定しておけば、そのPCに入っているたいていのアプリを起動可能です。というわけで、CSVだからと侮っているとExcelなどで開かれて事故が起きる可能性がありますよ、というお話でした。

情報処理教科書 基本情報技術者試験の表計算問題がちゃんと解ける本

情報処理教科書 基本情報技術者試験の表計算問題がちゃんと解ける本

情報リテラシー教科書 Windows 10/Office 2016対応版

情報リテラシー教科書 Windows 10/Office 2016対応版

SQL Server Management Studioのインストール

SQL Serverで研修課題などを作ってアクセスしてもらおうとしたのですが、そういえばSQL Server Management Studioってどうやってインストールするのだったかな……と検索したところ……。今はフリー版が公開されているのですね。知りませんでした。

SQL Server Management Studio 2017 (64bit)
https://docs.microsoft.com/ja-jp/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-2017
SQL Server Management Studio 2012 (32bit/64bit)
https://social.msdn.microsoft.com/Forums/sqlserver/en-US/3e1ff217-8e19-4a7a-9a98-e7f77a268da6/where-can-i-download-sql-server-2012-management-studio-express

2012についてはダウンロードを選択してから、さらに「何を」を選択するようになっているので、そこで「JPN\x86\SQLManagementStudio_x86_JPN.exe」などを選択すればマネジメントスタジオだけのダウンロードが可能です。

2017をとりあえずインストールしてみましたが、使用感はSQL Server 2008あたりとそんなに変わりません。

SQL Server 2016データベース構築・管理ガイド Enterprise対応

SQL Server 2016データベース構築・管理ガイド Enterprise対応