LDAP Injection
Was ist LDAP Injection?
LDAP InjectionInjection-Angriff, der LDAP-Suchfilter oder DNs durch nicht bereinigte Eingaben manipuliert, um Authentifizierung zu umgehen oder Verzeichnisdaten auszulesen.
LDAP Injection zielt auf Anwendungen, die LDAP-Abfragen durch Konkatenation von Benutzereingaben in Suchfilter oder Distinguished Names aufbauen. Durch Einfügen von Metazeichen wie , (, ), |, & oder NUL kann ein Angreifer einen Filter umschreiben (zum Beispiel aus (uid=$user) ein (uid=) machen), um sich als anderer Benutzer zu authentifizieren, Konten zu enumerieren oder sensible Attribute auszulesen. Schutzmaßnahmen sind parametrisierte LDAP-Bibliotheken, strikte Allowlist-Validierung der erlaubten Zeichen in Benutzernamen und DNs, RFC-4515-konformes Escapen, das Binden der Abfragen an Dienstkonten mit minimalen Rechten und das Einschränken der Attribute, die eine Anwendung zurückgeben darf.
● Beispiele
- 01
Ein Login-Formular, das (&(uid=$user)(userPassword=$pass)) zusammensetzt, akzeptiert *)(uid=* als Benutzername und meldet den Angreifer als ersten Treffer an.
- 02
Eine Personensuchseite, bei der ein Wildcard-Filter alle Mitarbeitenden aus dem Verzeichnis ausliest.
● Häufige Fragen
Was ist LDAP Injection?
Injection-Angriff, der LDAP-Suchfilter oder DNs durch nicht bereinigte Eingaben manipuliert, um Authentifizierung zu umgehen oder Verzeichnisdaten auszulesen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet LDAP Injection?
Injection-Angriff, der LDAP-Suchfilter oder DNs durch nicht bereinigte Eingaben manipuliert, um Authentifizierung zu umgehen oder Verzeichnisdaten auszulesen.
Wie schützt man sich gegen LDAP Injection?
Schutzmaßnahmen gegen LDAP Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.