Παρασκευή, 10 Απριλίου, 06:56
Αρχική security Hacking GitHub: To Unicode δεν είναι αστεία υπόθεση

Hacking GitHub: To Unicode δεν είναι αστεία υπόθεση

Η χρήση του Unicode για την δημιουργία emoji καθώς και άλλων απλών συμβολισμών, δεν του έδωσε τα εύσημα που του αξίζουν. Η σημασία της κατανόησης του Unicode εκτείνεται πέρα από τις τοπικές προσαρμογές του και την ποικιλομορφία και η έλλειψη κατανόησης του μπορεί να οδηγήσει σε τρωτά σημεία στον κωδικό σας.

hacking-github-with-unicode

Ένα λιγότερο γνωστό περιστατικό είναι οι συγκρούσεις χαρτογράφησης του Unicode. Μια τέτοια σύγκρουση συμβαίνει όταν δύο διαφορετικοί χαρακτήρες είναι κεφαλαία ή πεζά στον ίδιο, κατά την μετατροπή, χαρακτήρα. Αυτό το φαινόμενο το βλέπουμε συνήθως μεταξύ δύο διαφορετικών πρωτοκόλλων, όπως τα ονόματα των email και των domain.

Ένα γρήγορο παράδειγμα κώδικα:

'ß'.toLowerCase() // 'ss'

'ß'.toLowerCase() === 'SS'.toLowerCase() // true

- Advertisement -

// Note the Turkish dotless i

'John@Gıthub.com'.toUpperCase() === 'John@Github.com'.toUpperCase()

Συγκρούσεις κατά την μετατροπή

Παρόλο που υπάρχουν πολλές περιπτώσεις συγκρούσεων σε όλα τα επίπεδα του Unicode, στον παρακάτω πίνακα προσθέσαμε μόνο τις περιπτώσεις συγκρούσεων μετατροπής κεφαλαίων/πεζών στα αγγλικά.

Κεφαλαία

CharCode PointOutput Char
ß0x00DFSS
ı0x0131I
ſ0x017FS
0xFB00FF
0xFB01FI
0xFB02FL
0xFB03FFI
0xFB04FFL
0xFB05ST
0xFB06ST

Πεζά

CharCode PointOutput Char
0x212Ak

Παράδειγμα αληθινού περιστατικού

Το feature της επαναφοράς του κωδικού πρόσβασης του GitHub θα μπορούσε να διακυβευτεί καθώς το σύστημα μετέτρεπε σε πεζά διευθύνσεις email και τις συνέκρινε με τις διευθύνσεις που ήταν αποθηκευμένες στη βάση δεδομένων των χρηστών. Εάν υπήρχε ταυτοποίηση, το GitHub έστελνε το σύνδεσμο επαναφοράς κωδικού πρόσβασης στη διεύθυνση email που παρείχε ο εισβολέας – ο οποίος προφανώς δεν είχε την ίδια διεύθυνση email.

Παρακάτω σας παραθέτουμε τα λεγόμενα της ομάδας ασφάλειας του GitHub:

“Η ομάδα μας ανακάλυψε ένα ελάττωμα στον τρόπο με τον οποίο οι διευθύνσεις email μετατρέπονταν σε συγκεκριμένα σύνολα χαρακτήρων όταν χρησιμοποιήθηκαν για την αναζήτηση λογαριασμών κατά τη διαδικασία ανάκτησης κωδικών πρόσβασης. Τα tokens επαναφοράς κωδικών πρόσβασης σχετίζονται με διευθύνσεις ηλεκτρονικού ταχυδρομείου και η διαδικασία μιας επαναφοράς κωδικού με μια διεύθυνση email που τροποποιείτε σε μια άλλη διεύθυνση, θα έχει ως αποτέλεσμα την επαναφορά ενός token που θα παραδοθεί στη διεύθυνση email άλλου λογαριασμού. Η επίθεση λειτουργεί μόνο εάν ένας πάροχος email επιτρέπει τη χρήση Unicode στο “τοπικό μέρος” της διεύθυνσης ηλεκτρονικού ταχυδρομείου και ένας εισβολέας μπορεί να διεκδικήσει μια διεύθυνση email που περιέχει Unicode που μετατρέπετε σε μια διεύθυνση email άλλου λογαριασμού (π.χ. mike@example.org σε σχέση με το mıke @ example.org). Το Unicode στο σκέλος του domain δεν επιτρέπεται από το διακομιστή εξερχόμενου ταχυδρομείου του GitHub και συνεπώς δεν μπορεί να χρησιμοποιηθεί ως μέρος μιας ευρύτερης επίθεσης σε κοινά domain (π.χ. gmail.com σε σχέση με το gmaıl.com).

Το GitHub αντιμετώπισε την ευπάθεια, διασφαλίζοντας ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου στη βάση δεδομένων ταιριάζει με τη διεύθυνση email που ενεργοποίησε τη διαδικασία επαναφοράς κωδικού. Αυτό διασφαλίζει ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για τη δημιουργία του token αντιστοιχεί στη διεύθυνση email στην οποία παραδίδεται το διακριτικό επαναφοράς.”

Πηγή:https://eng.getwisdom.io/hacking-github-with-unicode-dotless-i/

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...