ٽروجن ماخذ حملي جي طريقي جي پٺيان، جيڪو يونيڪوڊ اکرن جي استعمال تي ٻڌل آهي جيڪو ٻه طرفي متن جي ڊسپلي آرڊر کي تبديل ڪري ٿو، پوشيده عملن کي متعارف ڪرائڻ لاء هڪ ٻيو ٽيڪنڪ شايع ڪيو ويو آهي، جاوا اسڪرپٽ ڪوڊ تي لاڳو ٿئي ٿو. نئون طريقو يونيڪوڊ ڪردار "ㅤ" (ڪوڊ 0x3164، "HANGUL FILLER") جي استعمال تي ٻڌل آهي، جيڪو خطن جي درجي سان تعلق رکي ٿو، پر ان ۾ ڪو به مواد نظر نٿو اچي. يونيڪوڊ ڪيٽيگري جنهن ۾ هي ڪردار تعلق رکي ٿو ان کي اجازت ڏني وئي آهي ECMAScript 2015 وضاحتن کان وٺي JavaScript متغير نالن ۾ استعمال ڪرڻ لاءِ، ان کي ممڪن بڻايو ويو آهي ته پوشيده متغير يا نوان متغير ٺاهڻ جيڪي مشهور ڪوڊ ايڊيٽرن جهڙوڪ Notepad++ ۽ VS Code ۾ ٻين متغيرن کان الڳ نه ٿين.
مثال طور، Node.js پليٽ فارم لاءِ ڪوڊ ڏنو ويو آهي، جنهن ۾، هڪ واحد ڪردار "ㅤ" تي مشتمل هڪ متغير استعمال ڪندي، هڪ پٺتي پيل دروازو لڪيل آهي جيڪو حملي ڪندڙ طرفان بيان ڪيل ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿو: app.get('/ network_health', async (req, res) = > { const { timeout, ㅤ} = req.query؛ // حقيقت ۾ اهو چوي ٿو "const { timeout, ㅤ \u3164}" const checkCommands = [ 'ping -c 1 google. com'، 'curl -s http://example.com/'،ㅤ // ڪاما جي پٺيان ڪردار آهي \u3164 ]؛
پهرين نظر ۾، صرف وقت ختم ٿيڻ جو قدر خارجي پيٽرولر ذريعي گذريو ويو آهي، ۽ حڪمن سان ترتيب ڏيڻ واري صف ۾ بي ضرر مقرر ڪيل فهرست شامل آهي. پر حقيقت ۾، ٽائم آئوٽ متغير کان پوء، ڪردار ڪوڊ سان گڏ هڪ ٻئي پوشيده متغير جو قدر لڳايو ويو آهي \u3164، جيڪو پڻ قابل عمل حڪمن جي صف ۾ متبادل آهي. اهڙيء طرح، جيڪڏهن اهڙي ڊزائن موجود آهي، هڪ حملو ڪندڙ هڪ درخواست موڪلي سگهي ٿو جهڙوڪ "https://host:8080/network_health?%E3%85%A4=command" پٺاڻن کي چالو ڪرڻ ۽ انهن جي ڪوڊ تي عمل ڪرڻ لاء.
هڪ ٻيو مثال ڪردار آهي "ǃ" (ALVEOLAR CLICK)، جيڪو استعمال ڪري سگهجي ٿو ظاهر ڪرڻ لاءِ ظاهر ڪرڻ واري نقطي کي ظاهر ڪرڻ. مثال طور، اظهار “if(environmentǃ=ENV_PROD){” جڏهن Node.js 14 ۾ عمل ڪيو ويندو ته هميشه سچو هوندو، ڇاڪاڻ ته اهو فرق جي جانچ نٿو ڪري، پر متغير “environmentǃ” کي ENV_PROD جي قيمت تفويض ڪري ٿو. ٻيا گمراهه ڪندڙ يونيڪوڊ ڪردارن ۾ شامل آهن "/"، "−"، "+"، "⩵"، "❨"، "⫽"، "꓿" ۽ "∗".
جو ذريعو: opennet.ru