Detecting Malicious Unicode
a year ago
- #curl
- #security
- #unicode
- 一位curl贡献者通过用视觉上相同的Unicode字符替换URL中的ASCII字母,演示了一个安全漏洞,该漏洞未被人工审核和CI检查发现。
- GitHub和Gitea等平台对此类Unicode替换仅显示有限警告,但需要更多可见性来防范潜在安全风险。
- curl项目已实施CI检测任务来识别恶意Unicode序列,通过将UTF-8使用限制在白名单场景以提升安全性。
- Unicode联盟的形似字符工具等方案,可帮助识别不同Unicode字符集中视觉相似的字符。
- 安全是持续性的挑战,需要主动采取措施来预测和缓解未来未知的攻击手段。