GitHub posta elektronikoko Unicode karaktereen manipulazioaren bidez kontu baterako sarbidea eskuratzea ahalbidetzen duen eraso bat jasan dezake. Arazoa da Unicode-ko karaktere batzuk, minuskulak edo maiuskulak bihurtzeko funtzioak erabiltzean, estiloan antzeko karaktere arruntetara itzultzen direla (hainbat karaktere ezberdin karaktere bakarrera itzultzen direnean, adibidez, "Δ±" eta "i" karaktere turkiarrak. " maiuskula bihurtzen denean "I" bihurtzen dira).
Zerbitzu eta aplikazio batzuetan saio-hasierako parametroak egiaztatu aurretik, erabiltzaileek emandako datuak letra larriz edo minuskulara bihurtzen dira lehenik eta, ondoren, datu-basean egiaztatzen dira. Zerbitzu batek saio-hasiera edo posta elektroniko batean unicode karaktereak erabiltzea onartzen badu, erasotzaileak Unicode kasuen mapak talketan talkak manipulatzen dituen erasoa burutzeko erabil ditzake erasotzaileak.
'Γ'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@GΔ±thub.com'.toUpperCase() == '[posta elektroniko bidez babestua]'.toUpperCase()
Erasotzailea GitHub-en ahaztutako pasahitza berreskuratzeko formularioaren bidez, hasi berreskuratzeko kodea beste mezu elektroniko batera bidaltzen, inprimakian talka eragiten duen unicode karaktere bat duen helbide bat adieraziz (adibidez, [posta elektroniko bidez babestua] email m adierazi zenΔ±[posta elektroniko bidez babestua]). Helbideak proba gainditu du letra larriz bihurtu eta jatorrizko helbidearekin bat datorrelako ([posta elektroniko bidez babestua] ), baina gutuna bidaltzean dagoen bezala ordezkatu zen eta berreskuratzeko kodea helbide faltsu batera bidali zen (mΔ±[posta elektroniko bidez babestua]).
Batzuk , talkak eraginez erregistroa bihurtzean:
Γ 0x00DF SS
Δ± 0x0131 I
0x017F S
ο¬ 0xFB00 FF
ο¬ 0xFB01 FI
ο¬ 0xFB02 FL
ο¬ 0xFB03 FFI
ο¬ 0xFB04 FFL
ο¬
0xFB05 ST
ο¬ 0xFB06 ST
K 0x212A k
Iturria: opennet.ru