Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: unicode

Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

17 grudnia 2019, 14:04 | W biegu | komentarzy 7
Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

Ciekawy przykład, który w zasadzie może wystąpić w każdej aplikacji webowej. Otóż przy próbie resetu hasła, GitHub podany adres mailowy najpierw robił lowercase, a później porównywał z tym w bazie. W czym problem? W Unicode. Przykład? Czyli jeśli założyłem sobie maila z np. tureckim i w nazwie, toLowerCase() normalizował to do zwykłego 'i’….

Czytaj dalej »

NULL NaN undef 1#QNAN 0xffffffff ヽ༼ຈل͜ຈ༽ノ ヽ༼ຈل͜ຈ༽ノ Ṱ̺̺̕o͞ ̷i̲̬͇̪͙n̝̗͕v̟̜̘̦͟o̶̙̰̠kè͚̮̺̪̹̱̤ i masa innych niebezpiecznych ciągów znaków

17 listopada 2018, 12:40 | W biegu | komentarze 2

Ciekawa, ciągle aktualizowana baza „podejrzanych” ciągów znaków, czyli takich które dość często stwarzają rozmaite problemy. Autor projektu jako rozgrzewkowy przykład podaje użycie tzw. zero-width space, który na Twitterze daje (dawał) internal server error… Pamiętajcie żeby tych nazw nie stosować np. jako nazw użytkowników, a dla (pen) testerów to idealne miejsce,…

Czytaj dalej »

Rosjanie przejęli ɢoogle.com…

21 listopada 2016, 22:02 | W biegu | komentarze 4

Zanim zaczniecie pisać że to fake, zobaczcie na pierwszą literę G – to znak unicode „LATIN LETTER SMALL CAPITAL G” U+0262. Tytuł posta wygląda raczej przekonująco – dla zwykłych użytkowników pierwsza litera jest bardzo podobna do normalnego G, prawda? Otóż sprytni Rosjanie użyli takiej domeny do rozpylania spamu. Całość ma też…

Czytaj dalej »