GitHub上
在某些服务和应用程序中检查登录参数之前,用户提供的数据首先被转换为大写或小写,然后在数据库中检查。 如果服务允许在登录名或电子邮件中使用 unicode 字符,则攻击者可以使用类似的 unicode 字符来执行操纵 Unicode 大小写映射冲突中的冲突的攻击。
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@Gıthub.com'.toUpperCase() == '[电子邮件保护]'.toUpperCase()
GitHub 上的攻击者
一些
ß 0x00DF SS
0x0131 我
ſ 0x017F S
ff 0xFB00 FF
Ø 0xFB01 FI
FL 0xFB02 FL
ffi 0xFB03 FFI
ffl 0xFB04 FFL
ſt 0xFB05 ST
st 0xFB06 ST
K 0x212A k
来源: opennet.ru