Unicode Normalization
参考:
https://book.hacktricks.xyz/pentesting-web/unicode-normalization-vulnerability
简介#
Unicode 标准化(Normalization)机制确保两个可能由不同二进制字符组成的字符串在标准化之后拥有相同的二进制值。
若存在该漏洞,则不同的字符最终具有相同的含义,通常用于绕过。
例如大写字母 K 与开尔文 K。
如果存在该漏洞,并且代码只是过滤了大写字母 K,那我们就可以输入开尔文 K 以绕过代码过滤,但在执行时,开尔文 K 具有与大写字母 K 相同的语义。
发现思路#
如果发现某些页面可以返回输入的值,那么可以尝试发送某个 Unicode 等价字符(例如开尔文 K ,如果页面返回的是大写字母 K,那么则存在该漏洞。
作者:chenyun
出处:https://www.cnblogs.com/starrys/p/15959720.html
版权:本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 别再用vector<bool>了!Google高级工程师:这可能是STL最大的设计失误
· 单元测试从入门到精通
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)