Практика
В компьютерной безопасности , инъекции LDAP является инъекция кода метод , используемый для использования веб - приложений , которые могли бы выявить конфиденциальную информацию пользователя или изменить информацию , представленную в LDAP (облегченный протокол доступа к каталогам) хранит данные. Внедрение LDAP использует уязвимость безопасности в приложении, манипулируя входными параметрами, передаваемыми внутренним функциям поиска, добавления или изменения. Когда приложение не может должным образом очистить ввод данных пользователем, злоумышленник может изменить инструкцию LDAP.
Инъекция LDAP происходит, когда пользовательский ввод не очищен должным образом и затем используется как часть динамически генерируемого фильтра LDAP. Это приводит к возможным манипуляциям с операторами LDAP, выполняемыми на сервере LDAP, для просмотра, изменения или обхода учетных данных аутентификации. [1]
Инъекция LDAP является известной атакой и может быть предотвращена с помощью простых мер. Весь предоставленный клиентом ввод должен быть проверен / очищен от любых символов, которые могут привести к злонамеренному поведению. Проверка ввода должна проверять ввод путем проверки наличия специальных символов, являющихся частью языка запросов LDAP, известных типов данных, допустимых значений и т. Д. [2] Проверка ввода белого списка также может использоваться для обнаружения несанкционированного ввода перед он передается в запрос LDAP.
В приведенном ниже примере создается запрос для проверки учетных данных пользователя с целью входа в систему.
В типичном случае использования пользователь предоставит свои учетные данные, и этот фильтр будет использоваться для проверки этих учетных данных. Однако злоумышленник может ввести специально созданный ввод для переменной,
Комментарии
Оставить комментарий
Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность.
Термины: Криптография и Криптоанализ. Стеганография. Защита Информации и информационная безопасность.