GitHub上
在某些服務和應用程式中檢查登入參數之前,使用者提供的資料首先被轉換為大寫或小寫,然後在資料庫中檢查。 如果服務允許在登入名稱或電子郵件中使用 unicode 字符,則攻擊者可以使用類似的 unicode 字符來執行操縱 Unicode 大小寫映射衝突中的衝突的攻擊。
'ß'.toUpperCase() == 'ss'.toUpperCase() // 0x0131
'K'.toLowerCase() == 'K'.toLowerCase() // 0x212A
'John@Gıthub.com'.toUpperCase() == '[電子郵件保護]'.toUpperCase()
GitHub 上的攻擊者
一些
ß 0x00DF SS
0x0131 我
ſ 0x017F S
ff 0xFB00 FF
Ø 0xFB01 FI
FL 0xFB02 FL
ffi 0xFB03 FFI
ffl 0xFB04 FFL
ſt 0xFB05 ST
st 0xFB06 ST
K 0x212A k
來源: opennet.ru