
Web uygulamalarının uluslararası e-posta adreslerini nasıl ele aldığını kullanarak saldırganların çevrimiçi hesapları kaçırmasına izin veren kritik, sıfır tıkalı bir güvenlik açığı.
“Kanonikleştirme uyumsuzluğu” olarak bilinen teknik bir tutarsızlığa dayanan kusur, modern web güvenliğinin temelini oluşturan şifre sıfırlamasını ve “Magic Link” giriş sistemlerini etkiler.
Nullsecurityx’e göre, saldırı kurbandan etkileşim gerektirmez, bu da onu son derece tehlikeli hale getirir. Bir saldırgan, kurbanlarla aynı görünen özel hazırlanmış bir e -posta adresi kullanarak bir şifre sıfırlaması isteyerek bir hesabın tam kontrolünü kazanabilir.
Bu yöntem, kullanıcının kötü niyetli bir bağlantıyı tıklamaya yönelik kimlik avı veya kandırması ihtiyacını atlar.
Güvenlik açığı, alan adlarındaki çeşitli dillerden karakterlere (uluslararası alan adları veya IDN) ve bu karakterleri İnternet altyapısı tarafından kullanılan standart ASCII formatına dönüştüren sistem olan Punycode’a izin veren Unicode arasındaki etkileşimden kaynaklanmaktadır.
0 Punycode kullanarak güvenlik açığı tıklayın
Saldırganlar, Latin ‘o’ yerine Kiril ‘O’ gibi standart harflerden görsel olarak ayırt edilemeyen Unicode karakterlerini kullanarak bir alan adını kaydedebilir.
Güvenlik açığının teknik analizine göre, bir web uygulamasının arka ucunun bir şifre sıfırlama isteğini işlediğinde saldırı ortaya çıkar.
Örneğin, bir saldırgan için bir şifre sıfırlaması isteyebilir ”[email protected]”Ancak adresi” tam genişlik “‘M’ kullanarak gönderin (gmail.com
).
Uygulamanın ön uç veya doğrulama mantığı, meşru adres ile görsel olarak karışık olanı ayırt edemeyerek isteği onaylayabilir.
Ancak, e-posta sistemi Sıfırlama bağlantısını gönderdiğinde, onu alan adının saldırgan kontrollü punycode sürümüne doğru bir şekilde yönlendirir (örn. xn--...
). Saldırgan daha sonra ayrıcalıklı bağlantıyı alır ve hesabı devralırken, meşru kullanıcı tamamen farkında değildir.
Bu “0 tıklama” doğası, tehdidi bu kadar şiddetli yapan şeydir. Uzlaşma, kullanıcı hatasının bir sonucu değil, kullanıcı arayüzünden ve doğrulama kurallarından veritabanı ve posta sunucularına kadar bir uygulamanın farklı katmanlarının e -posta adreslerini nasıl işlediği konusunda temel bir kusurdur.
NullSecurityx, her bileşenin Unicode ve Punycode sürümlerini farklı yorumlayabileceğini ve saldırganların sömürebileceği bir boşluk oluşturabileceğini söyledi.
“Sonuç, insanlar için aynı görünen iki adres, posta taşımacılığı tarafından farklı ipler olarak ele alınabilir” diyor.
E -posta genellikle sayısız diğer çevrimiçi hizmetlere erişimi kurtarmak için nihai “güven çapası” olarak hizmet ettiğinden, bir uzlaşmanın basamaklı bir etkisi olabilir.
Uzmanlar, geliştiricileri kimlik doğrulama sistemlerini derhal incelemeye ve güçlendirmeye çağırıyor. Azaltma, tüm sistem bileşenlerinde e -posta adreslerinin tutarlı normalleştirilmesini, Unicode karışımlarını anlayan sağlam doğrulama kütüphaneleri kullanarak ve veritabanı aramalarının bu görsel hilelere duyarlı olmamasını gerektirir.
Bu sessiz ama güçlü tehdit, bir e-posta adresi gibi görünüşte basit verilerin nasıl işlendiği ve güvenildiğine dair daha derin, kod düzeyinde bir anlayışa olan ihtiyacı vurgular.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.