GitHub e-pochtadagi Unicode belgilarini o'zgartirish orqali hisobingizga kirish huquqini qo'lga kiritish imkonini beruvchi hujumga moyil. Muammo shundaki, ba'zi Unicode belgilar kichik yoki katta harflarni o'zgartirish funktsiyalaridan foydalanganda, uslubi o'xshash bo'lgan oddiy belgilarga tarjima qilinadi (bir nechta turli belgilar bitta belgiga tarjima qilinganda - masalan, turkcha "ı" va "i" belgilari " katta harfga aylantirilganda "I" ga aylantiriladi).
Ba'zi xizmatlar va ilovalarda kirish parametrlarini tekshirishdan oldin foydalanuvchi tomonidan taqdim etilgan ma'lumotlar avval katta yoki kichik harflarga aylantiriladi va keyin ma'lumotlar bazasida tekshiriladi. Agar xizmat login yoki elektron pochtada unicode belgilaridan foydalanishga ruxsat bersa, tajovuzkor Unicode Case Mapping Collisions-da to'qnashuvlarni boshqaradigan hujumni amalga oshirish uchun shunga o'xshash unicode belgilaridan foydalanishi mumkin.
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'[email protected]'.toUpperCase() == '[elektron pochta bilan himoyalangan]'.toUpperCase()
GitHub-da hujumchi unutilgan parolni tiklash formasi orqali to'qnashuvga olib keladigan unicode belgisini o'z ichiga olgan manzilni ko'rsatib, boshqa elektron pochtaga tiklash kodini yuborishni boshlang (masalan, o'rniga [elektron pochta bilan himoyalangan] elektron pochta m ko'rsatilganı[elektron pochta bilan himoyalangan]). Manzil sinovdan o'tdi, chunki u bosh harfga aylantirildi va asl manzilga mos keldi ([elektron pochta bilan himoyalangan] ), lekin xatni yuborishda u avvalgidek almashtirildi va tiklash kodi soxta manzilga yuborildi (mı[elektron pochta bilan himoyalangan]).
Ba'zi , registrni o'zgartirishda to'qnashuvlarga olib keladi:
ß 0x00DF SS
men 0x0131 I
ſ 0x017F S
ff 0xFB00 FF
fi 0xFB01 FI
fl 0xFB02 FL
ffi 0xFB03 FFI
ffl 0xFB04 FFL
besh 0xFB05 ST
fi 0xFB06 ST
K 0x212A k
Manba: opennet.ru