Server che gestisce in modo errato caratteri unicode?

1

Quindi sto testando una pen per un'applicazione web. Dopo aver inviato determinati dati, li invia in una richiesta POST che contiene i dati in un oggetto JSON. Così, mentre lo stavo sfogliando, stavo testando la gestione errata della codifica. Abbastanza sicuro quando si invia un carattere unicode nel formato \u2030 Ricevo una risposta dal server che si lamenta dei dati fasulli.

Tuttavia, quando mi dice cosa ho inviato ad esso invece di avere il carattere per mille che è ciò che \u2030 ottengo, ottengo questo oggetto JSON contenente tre caratteri separati per il carattere unicode che ho inserito:

{"success": false, "errorcode": 1, 
"errormessage": "Section 'init' or action 'ȃ0' is invalid"}

La parte ȃ0' is invalid è la parte di interesse. Sono curioso di sapere se questo potrebbe rivelare un potenziale rischio per la sicurezza sotto forma di un buffer overflow perché uno dei 3 byte che comprende il carattere Unicode potrebbe essere interpretato come un byte null, quindi avere più dati dopo di esso che sovrascriverà altri la memoria.

Qualsiasi informazione, consiglio, ecc. sarebbe fantastico. Grazie.

EDIT: Mi è appena venuto in mente che Burp, che sto usando per intercettare la risposta, potrebbe visualizzare erroneamente il carattere unicode quando il server risponde con esso. Si tratta di un bug noto?

    
posta Edward Severinsen 04.06.2018 - 05:46
fonte

0 risposte