Injeção LDAP
O que é Injeção LDAP?
Injeção LDAPAtaque de injeção que manipula filtros de pesquisa LDAP ou DNs através de entradas não sanitizadas para contornar a autenticação ou ler dados do diretório.
A injeção LDAP afeta aplicações que constroem consultas LDAP concatenando entradas do utilizador em filtros de pesquisa ou Distinguished Names. Ao inserir metacaracteres LDAP como , (, ), |, & ou NUL, o atacante pode reescrever um filtro (por exemplo transformando (uid=$user) em (uid=)) para autenticar como outro principal, enumerar utilizadores ou ler atributos sensíveis. As defesas incluem bibliotecas LDAP parametrizadas, validação estrita por lista branca dos caracteres permitidos em nomes de utilizador e DNs, escape conforme RFC 4515, vincular consultas a contas de serviço com privilégios mínimos e restringir os atributos que cada aplicação pode devolver.
● Exemplos
- 01
Um formulário de autenticação que constrói (&(uid=$user)(userPassword=$pass)) aceita *)(uid=* como nome de utilizador e regista o atacante como a primeira correspondência.
- 02
Uma página de pesquisa de pessoas em que um filtro com curingas extrai todos os registos de funcionários do diretório.
● Perguntas frequentes
O que é Injeção LDAP?
Ataque de injeção que manipula filtros de pesquisa LDAP ou DNs através de entradas não sanitizadas para contornar a autenticação ou ler dados do diretório. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injeção LDAP?
Ataque de injeção que manipula filtros de pesquisa LDAP ou DNs através de entradas não sanitizadas para contornar a autenticação ou ler dados do diretório.
Como se defender contra Injeção LDAP?
As defesas contra Injeção LDAP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.