గ్యాలరీలు ఇమెయిల్లోని యూనికోడ్ అక్షరాలను తారుమారు చేయడం ద్వారా ఖాతాకు యాక్సెస్ను స్వాధీనం చేసుకోవడానికి మిమ్మల్ని అనుమతించే దాడికి అవకాశం ఉంది. సమస్య ఏమిటంటే, కొన్ని యూనికోడ్ అక్షరాలు, చిన్న అక్షరం లేదా పెద్ద అక్షరం మార్పిడి ఫంక్షన్లను ఉపయోగిస్తున్నప్పుడు, సాధారణ అక్షరాలుగా అనువదించబడతాయి, అవి శైలిలో సమానంగా ఉంటాయి (అనేక విభిన్న అక్షరాలు ఒక అక్షరంలోకి అనువదించబడినప్పుడు - ఉదాహరణకు, టర్కిష్ అక్షరం "ı" మరియు "i "అప్పర్ కేస్కి మార్చినప్పుడు "I"కి మార్చబడతాయి).
కొన్ని సేవలు మరియు అప్లికేషన్లలో లాగిన్ పారామితులను తనిఖీ చేసే ముందు, వినియోగదారు అందించిన డేటా మొదట ఎగువ లేదా లోయర్ కేస్కి మార్చబడుతుంది మరియు డేటాబేస్లో తనిఖీ చేయబడుతుంది. ఒక సేవ లాగిన్ లేదా ఇమెయిల్లో యూనికోడ్ అక్షరాల వినియోగాన్ని అనుమతించినట్లయితే, దాడి చేసే వ్యక్తి యూనికోడ్ కేస్ మ్యాపింగ్ కొలిషన్లలో ఘర్షణలను మార్చే దాడిని నిర్వహించడానికి సారూప్య యూనికోడ్ అక్షరాలను ఉపయోగించవచ్చు.
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@Gıthub.com'.toUpperCase() == '[ఇమెయిల్ రక్షించబడింది]'.toUpperCase()
GitHubపై దాడి చేసిన వ్యక్తి మరచిపోయిన పాస్వర్డ్ను తిరిగి పొందడం కోసం ఫారమ్ ద్వారా, ఢీకొనడానికి కారణమయ్యే యూనికోడ్ అక్షరాన్ని కలిగి ఉన్న చిరునామాను ఫారమ్లో సూచించడం ద్వారా మరొక ఇమెయిల్కి పునరుద్ధరణ కోడ్ను పంపడం ప్రారంభించండి (ఉదాహరణకు, బదులుగా [ఇమెయిల్ రక్షించబడింది] ఇమెయిల్ m పేర్కొనబడిందిı[ఇమెయిల్ రక్షించబడింది]) చిరునామా పెద్ద అక్షరానికి మార్చబడింది మరియు అసలు చిరునామాతో సరిపోలినందున పరీక్షలో ఉత్తీర్ణత సాధించింది ([ఇమెయిల్ రక్షించబడింది] ), కానీ లేఖను పంపేటప్పుడు అది యథాతథంగా భర్తీ చేయబడింది మరియు రికవరీ కోడ్ నకిలీ చిరునామాకు పంపబడింది (mı[ఇమెయిల్ రక్షించబడింది]).
కొన్ని , రిజిస్టర్ను మార్చేటప్పుడు ఘర్షణలకు కారణమవుతుంది:
ß 0x00DF SS
ı 0x0131 I
0x017F S
ఎఫ్ 0xFB00 FF
fi 0xFB01 FI
fl 0xFB02 FL
0xFB03 FFI
ఎఫ్ఎఫ్ 0xFB04 FFL
F 0xFB05 ST
ఎఫ్ 0xFB06 ST
K 0x212A k
మూలం: opennet.ru