Unicode Injection
Introdução
Dependendo de como o back-end/front-end se comporta quando ele recebe caracteres unicode estranhos, um atacante pode ser capaz de burlar proteções e injetar caracteres arbitrários que poderiam ser usados para abuso de vulnerabilidades de injeção como XSS ou SQLi.
Normalização Unicode
A normalização Unicode ocorre quando caracteres unicode são normalizados para caracteres ascii.
Um cenário comum desse tipo de vulnerabilidade ocorre quando o sistema está modificando de alguma forma a entrada do usuário após tê-la verificado. Por exemplo, em alguns idiomas, uma simples chamada para tornar a entrada maiúscula ou minúscula poderia normalizar a entrada fornecida e o unicode será transformado em ASCII gerando novos caracteres. Para mais informações, consulte:
pageUnicode Normalization\u
para %
\u
para %
Os caracteres Unicode são geralmente representados com o prefixo \u
. Por exemplo, o caractere 㱋
é \u3c4b
(verifique aqui). Se um back-end transforma o prefixo \u
em %
, a string resultante será %3c4b
, que decodificado de URL é: <4b
. E, como você pode ver, um <
char é injetado.
Você pode usar essa técnica para injetar qualquer tipo de caractere se o back-end for vulnerável.
Verifique https://unicode-explorer.com/ para encontrar os caracteres de que você precisa.
Essa vulnerabilidade na verdade vem de uma vulnerabilidade que um pesquisador encontrou, para uma explicação mais detalhada, confira https://www.youtube.com/watch?v=aUsAHb0E7Cg
Injeção de Emoji
Os back-ends às vezes se comportam de forma estranha quando eles recebem emojis. Foi o que aconteceu neste relatório onde o pesquisador conseguiu obter um XSS com um payload como: 💋img src=x onerror=alert(document.domain)//💛
Neste caso, o erro foi que o servidor, após remover os caracteres maliciosos, converteu a string UTF-8 de Windows-1252 para UTF-8 (basicamente a codificação de entrada e a conversão da codificação não correspondiam). Então isso não dá um < apropriado, apenas um unicode estranho: ‹
``Então eles pegaram essa saída e converteram novamente agora de UTF-8 para ASCII. Isso normalizou o ‹
para <
e é assim que a exploração poderia funcionar nesse sistema.
Isso é o que aconteceu:
Listas de emojis:
Last updated