Взлом с помощью Юникода (на примере GitHub)

Все блоги / Про интернет 20 декабря 2019 462

Юникод исключительно сложен. Мало кто знает все хитрости: от невидимых символов и контрольных знаков до суррогатных пар и комбинированных эмодзи (когда при сложении двух знаков получается третий). Стандарт включает 216 кодовых позиций в 17-ти плоскостях. По сути, изучение Юникода можно сравнить с изучением отдельного языка программирования.

Неудивительно, что веб-разработчики упускают из вида некоторые нюансы. С другой стороны, злоумышленники могут использовать особенности Юникода в своих целях, что и делают.

Специалист по безопасности Джон Грейси продемонстрировал на примере GitHub баг проверки адреса электронной почты для восстановления забытого пароля. Подобные баги можно встретить и на других сайтах.
Читать дальше →

Источник:

Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Google / [Ссылка] Доля Юникода в всемирной паутине уже на уровне 50%!

Примерно 18 месяцев назад, Гугл опубликовал график, показывающий, что Юникод в сети превысил все остальные кодировки. Оказывается, рост доли Юникода с тех пор значительно вырос. Источник:Все о Google на Хабрахабре

подробнее »

29 января 2010

Большая подборка функций хеширования на Github

Мацей Чижевски собрал на Github коллекцию исходных кодов различных алгоритмов хеширования: для вычисления контрольных сумм, некриптографических и криптографических. В репозитории можно найти, к примеру, реализации CRC/MD5/ГОСТ 34.311-95/SHA-3. Каждая хеш-функция представлена исходником на языке С и

подробнее »

5 января 2015

Ограничение количества попыток ввода пароля в веб-форме авторизации WordPress при помощи Nginx или HAProxy

Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или

подробнее »

8 февраля 2015

Радиопередатчик на системной шине ПК

Некоторые компьютеры в целях безопасности специально изолированы от внешнего мира (air gap или физическая изоляция). У них отсутствует доступ в интернет, нет локальной сети, WiFi, Bluetooth, отключены даже USB-интерфейс и аудиокарта. Как же в таком случае передать информацию с этого компьютера?

подробнее »

2 марта 2016

Утечки секретной информации обнаружены в 100 000 репозиториев на GitHub

Методология сбора секретов включает различные фазы, что позволяет в итоге идентифицировать секретную информацию с высокой степенью уверенности. Иллюстрация из научной работы GitHub и подобные платформы для открытой публикации исходного кода сегодня стали стандартным инструментов разработчиков.

подробнее »

24 марта 2019

Хакеры подставляют Securitylab.ru, требуя деньги за разблокировку iPhone

Компания Positive Technologies сообщает, что в начале 2015 года в интернете появился инструмент iDict, который позволяет обойти двухфакторную аутентификацию и подобрать пароль к учетной записи iCloud (перебором по словарю, судя по названию). Результатом атак на аккаунты iCloud становится не только

подробнее »

15 января 2015