LDAP-инъекция
Что такое LDAP-инъекция?
LDAP-инъекцияИнъекционная атака, при которой через неочищенный ввод изменяются фильтры поиска LDAP или DN, что позволяет обойти аутентификацию или прочитать данные каталога.
LDAP-инъекция нацелена на приложения, формирующие LDAP-запросы конкатенацией пользовательского ввода в фильтры поиска или DN. Вставляя метасимволы LDAP — , (, ), |, &, NUL — злоумышленник может переписать фильтр (например, превратить (uid=$user) в (uid=)), чтобы войти под другим пользователем, перечислить учётные записи или прочитать чувствительные атрибуты. Защита включает параметризованные LDAP-библиотеки, строгую валидацию ввода по белому списку допустимых символов в именах пользователей и DN, экранирование по RFC 4515, использование сервисных учётных записей с минимальными правами и ограничение возвращаемых каждому приложению атрибутов.
● Примеры
- 01
Форма аутентификации, собирающая (&(uid=$user)(userPassword=$pass)), принимает имя пользователя *)(uid=* и логинит злоумышленника как первое совпадение.
- 02
Страница поиска сотрудников, где фильтр с подстановочным знаком выгружает все записи каталога.
● Частые вопросы
Что такое LDAP-инъекция?
Инъекционная атака, при которой через неочищенный ввод изменяются фильтры поиска LDAP или DN, что позволяет обойти аутентификацию или прочитать данные каталога. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает LDAP-инъекция?
Инъекционная атака, при которой через неочищенный ввод изменяются фильтры поиска LDAP или DN, что позволяет обойти аутентификацию или прочитать данные каталога.
Как защититься от LDAP-инъекция?
Защита от LDAP-инъекция обычно сочетает технические меры и операционные практики, как описано в определении выше.