CWE-1007 屏幕显示出的不同编码的同形字母不易区分 类漏洞列表 2

CWE：CWE-1007 向用户呈现的同形字（Homoglyphs）视觉区分不足 英文：产品向用户显示信息或标识符，但其显示机制未使用户能够轻松区分视觉上相似或相同的字形（同形字），这可能导致用户误解某个字形并执行非预期的、不安全的操作。 某些字形、图片或图标在程序语义上可能截然不同，但在人类用户看来却非常相似或完全相同。这些被称为同形字（Homoglyphs）。例如，小写字母“l”（ell）和大写字母“I”（eye）具有不同的字符编码，但根据字体的不同，这些字符向用户显示的方式可能完全相同。这种情况也可能发生在不同字符集之间。例如，拉丁字母大写字母“A”和希腊字母大写字母“Α”（Alpha）在程序中被视为不同的字符，但向用户显示时可能完全相同。重音符号也可能导致字母看起来非常相似，例如带有重音符的拉丁大写字母“À”和带有锐音符的等效字母“Á”。攻击者可以利用这种视觉相似性发起钓鱼（Phishing）等攻击，例如提供一个指向攻击者控制的域名的链接，该域名在视觉上看起来像是受害者信任的域名。在同形字的另一种应用场景中，攻击者可能创建一个与常规用户用户名视觉上相似的恶意用户名，这使得系统管理员在审查日志时更难检测到该恶意用户名。