在源代码中隐藏人眼看不见的漏洞

天运恒

在源代码中隐藏人眼看不见的漏洞



剑桥大学的研究人员发表论文，介绍了在源代码中隐藏人眼看不见的漏洞的攻击方法。POC 攻击代码已发布在 GitHub 上。这种被称为 Trojan-Source 的攻击方法利用的是字符编码标准 Unicode 中的微妙之处，利用方向覆盖、同形异义等创造出对编译器和人类代码审查员视觉上存在差异的源代码，人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 都有效，研究人员已经将漏洞报告给了相关项目。