Entry № 686
LDAP 注入
LDAP 注入 是什么?
LDAP 注入通过未经过滤的输入篡改 LDAP 搜索过滤器或 DN,以绕过认证或读取目录数据的注入攻击。
LDAP 注入针对的是通过拼接用户输入构造 LDAP 查询过滤器或专有名称(DN)的应用程序。攻击者插入 、(、)、|、& 或 NUL 等 LDAP 元字符,可以改写过滤器(例如将 (uid=$user) 改为 (uid=)),从而以他人身份登录、枚举用户或读取敏感属性。防御措施包括使用支持参数化的 LDAP 库、对用户名和 DN 的合法字符执行严格白名单校验、按 RFC 4515 进行过滤器转义、将查询绑定到最小权限的服务账户,并限制每个应用可以返回的目录属性。
● 示例
- 01
认证表单构造 (&(uid=$user)(userPassword=$pass)),用户名输入 *)(uid=* 即以匹配到的首个账号登录。
- 02
员工搜索页面使用通配符过滤器,导致整个目录的员工记录被导出。
● 常见问题
LDAP 注入 是什么?
通过未经过滤的输入篡改 LDAP 搜索过滤器或 DN,以绕过认证或读取目录数据的注入攻击。 它属于网络安全的 攻击与威胁 分类。
LDAP 注入 是什么意思?
通过未经过滤的输入篡改 LDAP 搜索过滤器或 DN,以绕过认证或读取目录数据的注入攻击。
如何防御 LDAP 注入?
针对 LDAP 注入 的防御通常结合技术控制与运营实践,详见上方完整定义。