Hello there, ('ω')ノ
Unicode-Case Mapping Collisionでアカウントテイクオーバー(ATO)を。
脆弱性:
アカウントの乗っ取り
記事:
今回は、Unicode-Case MappingCollisionの脆弱性を発見して。
Unicodeは非常に複雑で。
目に見えない文字や制御文字から代理ペアや組み合わせた絵文字まで。
すべてのトリックを知っている人はほとんどいなくて。
今回のターゲットをWebサイトを「xyz.in」と呼ぶことに。
xyz.inのセキュリティ上の欠陥を悪用して。
特権ユーザに属するアカウントにアクセスするための。
パスワードを忘れたプロセスを利用するために、自分のドメインを登録して。
その際、トルコ語の文字「ı」(ドットのない「i」)を使用して。
これはラテン語の「i」に変換されるため、アドレスはTest@xyz.ınになって。
処理後のınはTest@xyz.inに変わったものの。
ドメインxyz. ın(ドットなし)が正常に作成されて。
「xyz.in」に悪意のあるメールアドレス「admin@xyz.ın」でアカウントを作成して。
そのアカウントからログアウトして、「admin@xyz.ın」にログインして。
[Forget Password]をクリックして。
リクエストをインターセプトして確認すると。
悪意のあるユーザを正しいユーザに置き換えて。
悪意のある電子メールアドレスでパスワードリセットトークンをトリガしたので。
管理者ユーザのパスワード変更に成功して。
https://www.compart.com/en/unicode/plane
Best regards, (^^ゞ
