Inyección LDAP
¿Qué es Inyección LDAP?
Inyección LDAPAtaque de inyección que manipula filtros de búsqueda o DNs de LDAP mediante entradas sin sanear para eludir la autenticación o leer datos del directorio.
La inyección LDAP afecta a aplicaciones que construyen consultas LDAP concatenando entradas del usuario en filtros de búsqueda o nombres distinguidos. Al insertar metacaracteres LDAP como , (, ), |, & o NUL, el atacante puede reescribir un filtro (por ejemplo, convertir (uid=$user) en (uid=)) para autenticarse como otro usuario, enumerar cuentas o leer atributos sensibles. Las defensas incluyen librerías LDAP parametrizadas, validación estricta con listas blancas de caracteres permitidos en nombres de usuario y DNs, escape conforme a RFC 4515, vincular las consultas a cuentas de servicio con privilegios mínimos y limitar qué atributos puede devolver cada aplicación.
● Ejemplos
- 01
Un formulario de autenticación que construye (&(uid=$user)(userPassword=$pass)) acepta *)(uid=* como nombre de usuario y entra como la primera coincidencia.
- 02
Una página de búsqueda de personas en la que un filtro con comodines extrae todos los registros de empleados del directorio.
● Preguntas frecuentes
¿Qué es Inyección LDAP?
Ataque de inyección que manipula filtros de búsqueda o DNs de LDAP mediante entradas sin sanear para eludir la autenticación o leer datos del directorio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyección LDAP?
Ataque de inyección que manipula filtros de búsqueda o DNs de LDAP mediante entradas sin sanear para eludir la autenticación o leer datos del directorio.
¿Cómo defenderse de Inyección LDAP?
Las defensas contra Inyección LDAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.