2

ユーザーは私たちのサイトで独自のサブサイトを取得できるため、www.example.com/subsite/gary は特定のユーザーのサブサイトになります。

しかし、悪意のあるユーザーが別のユーザー名でアカウントを作成するが、他の人には同じように見えるユニコード文字を使用してアカウントを作成し、そのようにしてゲイリーであると称するリンクを通過させる可能性があるホモグラフィック/ユニコードスプーフィング攻撃の可能性について心配しています。それが実際には他の誰かである場合。

成熟しているように見える唯一の解決策は UCAPI http://www.casaba.com/products/UCAPI/ですが、私はそれを使用したくないので、node.js で動作するものを用意したいと思います。(必要に応じて自分で実装したいという程度まで)

node.jsを使用して、これらの種類のホモグラフィック/スプーフィング攻撃をチェックできる例はありますか?

4

2 に答える 2

0

Node.js v0.12 で利用可能なUnicode 正規化をString.prototype.normalize使用してみることができますが、考えられるすべての攻撃ベクトルを処理できるとは思えません。

UCAPIを使用してください — 正確なユース ケースに合わせて作成されています。

于 2015-05-28T06:12:59.750 に答える