LDAP Injection

Was ist LDAP Injection?

Bei der LDAP Injection erstellt die Software die gesamte oder einen Teil einer LDAP-Abfrage unter Verwendung von extern beeinflussten Eingaben einer vorangestellten Komponente, aber speziellen Elemente werden nicht oder fehlerhaft neutralisiert, die die beabsichtigte LDAP-Abfrage ├Ąndern k├Ânnten, wenn sie an eine nachgestellte Komponente gesendet wird.

Diese Schwachstelle wird w├Ąhrend der Implementierung einer architektonischen Sicherheitstaktik verursacht.

Beschreibung

F├╝r einen Angreifer kann es bei der LAP Injection m├Âglich sein die Authentifizierungs-Kontrollen via Bypass zu umgehen und so beliebige Daten im LDAP-Verzeichnis anzeigen und ver├Ąndern.

Ein Angreifer kann die LDAP-Abfrage mit enthaltenen Eingaben ├Ąndern, sodass unbeabsichtigte Befehle oder Code ausgef├╝hrt wird. So k├Ânnen sensible Daten gelesen oder ge├Ąndert werden oder ein anderes unbeabsichtigtes Verhalten verursachen werden.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Verwenden Sie eine Whitelist aus akzeptablen Eingaben, die streng den Spezifikationen entsprechen. Verwerfen Sie Eingaben, die nicht genau den Spezifikationen entsprechen, oder wandeln Sie sie in etwas um, das dies tut.

Ber├╝cksichtigen Sie bei der Eingabevalidierung alle potenziell relevanten Eigenschaften, einschlie├člich L├Ąnge, Eingabetyp, den gesamten zul├Ąssigen Wertebereich, fehlende oder zus├Ątzliche Eingaben, Syntax, Konsistenz in verwandten Feldern und die Einhaltung von Gesch├Ąftsregeln.

Verlassen Sie sich nicht ausschlie├člich auf die Suche nach sch├Ądlichen oder fehlerhaften Eingaben (d.h. Verlassen Sie sich nicht auf eine Blacklist). Bei einer Blacklist wird wahrscheinlich mindestens eine unerw├╝nschte Eingabe ├╝bersehen, insbesondere wenn sich die Code-Umgebung ├Ąndert. Dadurch k├Ânnen Angreifer gen├╝gend Spielraum haben, um die beabsichtigte Validierung zu umgehen. Blacklists k├Ânnen jedoch hilfreich sein, um potenzielle Angriffe zu erkennen oder um festzustellen, welche Eingaben so fehlerhaft sind, dass sie v├Âllig abgelehnt werden sollten.

Hinweis

Faktoren, resultierend aus Missverst├Ąndnissen von Sonderzeichen, MAID oder Blacklist/Whitelist. Dies kann f├╝r Authentifizierungs- und ├ťberpr├╝fungsfehler prim├Ąr sein.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/90.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte