GitHubの
一部のサービスやアプリケーションでは、ログイン パラメータをチェックする前に、ユーザーが指定したデータがまず大文字または小文字に変換されてからデータベースにチェックインされます。 サービスがログインまたは電子メールでの Unicode 文字の使用を許可している場合、攻撃者は同様の Unicode 文字を使用して、Unicode Case Mapping Collision の衝突を操作する攻撃を実行する可能性があります。
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@Gıthub.com'.toUpperCase() == '[メール保護]'.toUpperCase()
GitHub の攻撃者
いくつかの
ß 0x00DF SS
ı 0x0131 私
ſ 0x017F S
ff 0xFB00 FF
0xFB01 FI
0xFB02 FL
ffi 0xFB03 FFI
ffl 0xFB04 FFL
ſt 0xFB05 ST
st 0xFB06 ST
K 0x212A k
出所: オープンネット.ru