Основные блоги b.Z » Все блоги » Про интернет » Взлом с помощью Юникода (на примере GitHub)

Взлом с помощью Юникода (на примере GitHub)

Все блоги / Про интернет 20 декабря 2019 489   
Смотреть в Telegram Поделиться в TG
Юникод исключительно сложен. Мало кто знает все хитрости: от невидимых символов и контрольных знаков до суррогатных пар и комбинированных эмодзи (когда при сложении двух знаков получается третий). Стандарт включает 216 кодовых позиций в 17-ти плоскостях. По сути, изучение Юникода можно сравнить с изучением отдельного языка программирования.

Неудивительно, что веб-разработчики упускают из вида некоторые нюансы. С другой стороны, злоумышленники могут использовать особенности Юникода в своих целях, что и делают.

Специалист по безопасности Джон Грейси продемонстрировал на примере GitHub баг проверки адреса электронной почты для восстановления забытого пароля. Подобные баги можно встретить и на других сайтах.
Читать дальше →

Источник:


Хабрахабр
  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Google / [Ссылка] Доля Юникода в всемирной паутине уже на уровне 50%!

Примерно 18 месяцев назад, Гугл опубликовал график, показывающий, что Юникод в сети превысил все остальные кодировки. Оказывается, рост доли Юникода с тех пор значительно вырос. Источник:Все о Google на Хабрахабре

подробнее »
29 января 2010
Большая подборка функций хеширования на Github

Мацей Чижевски собрал на Github коллекцию исходных кодов различных алгоритмов хеширования: для вычисления контрольных сумм, некриптографических и криптографических. В репозитории можно найти, к примеру, реализации CRC/MD5/ГОСТ 34.311-95/SHA-3. Каждая хеш-функция представлена исходником на языке С и

подробнее »
5 января 2015
Ограничение количества попыток ввода пароля в веб-форме авторизации WordPress при помощи Nginx или HAProxy

Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или

подробнее »
8 февраля 2015
Радиопередатчик на системной шине ПК

Некоторые компьютеры в целях безопасности специально изолированы от внешнего мира (air gap или физическая изоляция). У них отсутствует доступ в интернет, нет локальной сети, WiFi, Bluetooth, отключены даже USB-интерфейс и аудиокарта. Как же в таком случае передать информацию с этого компьютера?

подробнее »
2 марта 2016
Утечки секретной информации обнаружены в 100 000 репозиториев на GitHub

Методология сбора секретов включает различные фазы, что позволяет в итоге идентифицировать секретную информацию с высокой степенью уверенности. Иллюстрация из научной работы GitHub и подобные платформы для открытой публикации исходного кода сегодня стали стандартным инструментов разработчиков.

подробнее »
24 марта 2019
Хакеры подставляют Securitylab.ru, требуя деньги за разблокировку iPhone

Компания Positive Technologies сообщает, что в начале 2015 года в интернете появился инструмент iDict, который позволяет обойти двухфакторную аутентификацию и подобрать пароль к учетной записи iCloud (перебором по словарю, судя по названию). Результатом атак на аккаунты iCloud становится не только

подробнее »
15 января 2015
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии