Почему обычный символ «А» может стать оружием и как кодировки ломают системы Продолжая изучать уязвимости интерпретации данных, я в очередной раз наткнулся на интересную вещь. Исправляя баг с кодировкой, я задался вопросом: а какого черта их так много? Ответ прост. Каждый язык — это не просто набор рисованных букв, а инструкции для компьютера. Кодировка — это мини-код для расшифровки. Поэтому кириллическая «А» и латинская «A» имеют совершенно разный «вес», хотя на экране выглядят идентично. В сыром виде знаки передаются через значения типа %значение. Как это использовать для обхода блокировок? Фильтры в 99% случаев не смотрят на «прямые удары». Они получают уже сырые данные, и именно на этом этапе их можно обойти. Стандартный фильтр обычно ищет паттерны: t.me — домен Telegram. https/http — протокол. /// — разделители. Уязвимость в том, что обычное сравнение (==) здесь не работает. Если заменить точку на ее кодированное значение %2E, фильтр может ее не распознать, но браузер или приложение успешно интерпретируют ссылку: {"t%2Eme/Server_sleep"} Второй сценарий: если фильтр настроен на поиск двойного слеша //, мы используем избыточное экранирование или разделители типа ////. Атака на буфер и «мягкие зоны» Telegram агрессивно фильтрует текст, но у него есть «мягкая зона» — интерпретация ссылок. Особенность метода с точкой в том, что после перехода ссылка часто «чистит» себя в кэше: зайти по ней повторно или подать жалобу становится невозможно. Также этот метод эффективен для атак на буфер обмена. Разные знаки в разных кодировках могут весить до 4 байт на один символ. Платформы вроде Kwork часто имеют лимиты на количество символов, а не на реальный вес данных в байтах. Это критически опасно: можно отправить объем данных, который система просто не в состоянии корректно обработать, вызвав переполнение. Итог: Попробуйте обойти фильтры на любой платформе и присылайте свои результаты. Часто площадки готовы платить за отчеты об уязвимостях (Bug Bounty), и это может стать вашим профитом. А для тех, кто хочет реальной безопасности: Покупайте Mu-Sach у @nsioroot. Это мощный инструмент для защиты сетей со встроенным AI-агентом, который в лайв-режиме отлавливает подобные манипуляции хакеров.