GitHub هڪ حملي لاءِ حساس آهي جيڪا توهان کي اي ميل ۾ يونيڪوڊ اکرن جي هٿرادو اڪائونٽ تائين رسائي حاصل ڪرڻ جي اجازت ڏئي ٿي. مسئلو اهو آهي ته ڪجهه يونيڪوڊ اکر، جڏهن لوئر ڪيز يا اپر ڪيز ڪنورشن فنڪشن استعمال ڪندا آهن، انهن کي باقاعده اکرن ۾ ترجمو ڪيو ويندو آهي جيڪي هڪجهڙائي ۾ هوندا آهن (جڏهن ڪيترائي مختلف اکر هڪ اکر ۾ ترجمو ڪيا ويندا آهن - مثال طور، ترڪي اکر "ı" ۽ "i "جڏهن اپر ڪيس ۾ تبديل ڪيو وڃي ته "I" ۾ تبديل ٿي ويا آهن).
ڪجھ خدمتن ۽ ايپليڪيشنن ۾ لاگ ان پيرا ميٽرز کي چيڪ ڪرڻ کان اڳ، صارف جي فراهم ڪيل ڊيٽا کي پھريائين اپر يا لوئر ڪيس ۾ تبديل ڪيو ويندو آھي ۽ پوءِ ڊيٽابيس ۾ چيڪ ڪيو ويندو آھي. جيڪڏهن هڪ خدمت لاگ ان يا اي ميل ۾ يونيڪوڊ ڪردارن جي استعمال جي اجازت ڏئي ٿي، ته پوءِ هڪ حملو ڪندڙ يونيڪوڊ اکرن کي استعمال ڪري سگهي ٿو حملو ڪرڻ لاءِ جيڪو يونيڪوڊ ڪيس ميپنگ ڪوليشنز ۾ ٽڪراءَ کي هٿي ڏئي ٿو.
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@Gıthub.com'.toUpperCase() =='[ايميل محفوظ ٿيل]'.toUpperCase()
GitHub تي حملو ڪندڙ هڪ وساريل پاسورڊ ٻيهر حاصل ڪرڻ لاءِ فارم ذريعي، وصولي ڪوڊ موڪلڻ جي شروعات ڪريو ٻئي اي ميل ڏانهن اشارو ڪندي فارم ۾ هڪ پتو جنهن ۾ هڪ يونيڪوڊ ڪردار شامل آهي جيڪو ٽڪراءَ جو سبب بڻجي ٿو (مثال طور، بدران [ايميل محفوظ ٿيل] ايم ميل اشارو ڪيو ويوı[ايميل محفوظ ٿيل]). ايڊريس ٽيسٽ پاس ڪيو ڇو ته ان کي اپر اکر ۾ تبديل ڪيو ويو ۽ اصل ايڊريس سان ملايو ويو ([ايميل محفوظ ٿيل] )، پر جڏهن خط موڪليو ويو ته ان کي متبادل بڻايو ويو جيئن آهي ۽ وصولي ڪوڊ هڪ جعلي ايڊريس تي موڪليو ويو (mı[ايميل محفوظ ٿيل]).
مان ڪجھ رجسٽر کي تبديل ڪرڻ وقت ٽڪراءُ جو سبب بڻجن ٿا:
ß 0x00DF ايس ايس
0x0131 I
ſ 0x017F ايس
0xFB00 FF
FI 0xFB01 FI
FL 0xFB02 FL
0xFB03 FFI
0xFB04 FFL
FL 0xFB05 ST
0xFB06 ST
ڪ 0x212A ڪ
جو ذريعو: opennet.ru