Вам бонус- начислено 1 монета за дневную активность. Сейчас у вас 1 монета

LDAP Injection

Практика



В компьютерной безопасности , инъекции LDAP является инъекция кода метод , используемый для использования веб - приложений , которые могли бы выявить конфиденциальную информацию пользователя или изменить информацию , представленную в LDAP (облегченный протокол доступа к каталогам) хранит данные.   Внедрение LDAP использует уязвимость безопасности в приложении, манипулируя входными параметрами, передаваемыми внутренним функциям поиска, добавления или изменения. Когда приложение не может должным образом очистить ввод данных пользователем, злоумышленник может изменить инструкцию LDAP.

 

Техническая реализация  

Инъекция LDAP происходит, когда пользовательский ввод не очищен должным образом и затем используется как часть динамически генерируемого фильтра LDAP. Это приводит к возможным манипуляциям с операторами LDAP, выполняемыми на сервере LDAP, для просмотра, изменения или обхода учетных данных аутентификации. [1]

Профилактика  

Инъекция LDAP является известной атакой и может быть предотвращена с помощью простых мер. Весь предоставленный клиентом ввод должен быть проверен / очищен от любых символов, которые могут привести к злонамеренному поведению. Проверка ввода должна проверять ввод путем проверки наличия специальных символов, являющихся частью языка запросов LDAP, известных типов данных, допустимых значений и т. Д. [2] Проверка ввода белого списка также может использоваться для обнаружения несанкционированного ввода перед он передается в запрос LDAP.

Пример  

В приведенном ниже примере создается запрос для проверки учетных данных пользователя с целью входа в систему.

String filter = “(&(USER = ” + user_name + “) (PASSWORD = “ + user_password + “))”;

В типичном случае использования пользователь предоставит свои учетные данные, и этот фильтр будет использоваться для проверки этих учетных данных. Однако злоумышленник может ввести специально созданный ввод для переменной, 

user_name
такой как 
johnDoe)(&)
и любое значение для пароля, которым станет завершенный запрос 
(&(USER = johnDoe)(&))(PASSWORD = pass))
Сервер LDAP обрабатывает только первую часть этого запроса 
(&(USER = johnDoe)(&)
, который всегда имеет значение true, позволяя злоумышленнику получить доступ к системе без необходимости предоставления действительных учетных данных пользователя.

Смотрите также 

  • SQL-инъекция , похожий метод вредоносной атаки
создано: 2020-07-02
обновлено: 2021-03-13
92

Рейтиг 9 of 10. count vote: 2
Вы довольны ?:
Поделиться:

Найди готовое или заработай

С нашими удобными сервисами без комиссии*

Как это работает? | Узнать цену?

Найти исполнителя
$0 / весь год.
  • У вас есть задание, но нет времени его делать
  • Вы хотите найти профессионала для выплнения задания
  • Возможно примерение функции гаранта на сделку
  • Приорететная поддержка
  • идеально подходит для студентов, у которых нет времени для решения заданий
Создать заявку
Готовое решение
$0 / весь год.
  • Вы можите продать(исполнителем) или купить(заказчиком) готовое решение
  • Вам предоставят готовое решение
  • Будет предоставлено в минимальные сроки т.к. задание уже готовое
  • Вы получите базовую гарантию 8 дней
  • Вы можете заработать на материалах
  • подходит как для студентов так и для преподавателей
Добавить решение
Я исполнитель
$0 / весь год.
  • Вы профессионал своего дела
  • У вас есть опыт и желание зарабатывать
  • Вы хотите помочь в решении задач или написании работ
  • Возможно примерение функции гаранта на сделку
  • подходит для опытных студентов так и для преподавателей
Разместить резюме

Комментарии

Оставить комментарий
Если у вас есть какое-либо предложение, идея, благодарность или комментарий, не стесняйтесь писать. Мы очень ценим отзывы и рады услышать ваше мнение.
To reply

информационная безопасность - Криптография и Криптоанализ. Стеганография. Защита Информации

Термины: информационная безопасность - Криптография и Криптоанализ. Стеганография. Защита Информации