LDAP Injection
Inhaltsverzeichnis
Was ist LDAP Injection?
Definition
Bei der LDAP Injection erstellt die Software die gesamte oder einen Teil einer LDAP-Abfrage unter Verwendung von extern beeinflussten Eingaben einer vorangestellten Komponente, aber speziellen Elemente werden nicht oder fehlerhaft neutralisiert, die die beabsichtigte LDAP-Abfrage ändern könnten, wenn sie an eine nachgestellte Komponente gesendet wird.
Diese Schwachstelle wird während der Implementierung einer architektonischen Sicherheitstaktik verursacht.
Beschreibung
Für einen Angreifer kann es bei der LAP Injection möglich sein die Authentifizierungs-Kontrollen via Bypass zu umgehen und so beliebige Daten im LDAP-Verzeichnis anzeigen und verändern.
Ein Angreifer kann die LDAP-Abfrage mit enthaltenen Eingaben ändern, sodass unbeabsichtigte Befehle oder Code ausgeführt wird. So können sensible Daten gelesen oder geändert werden oder ein anderes unbeabsichtigtes Verhalten verursachen werden.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Verwenden Sie eine Whitelist aus akzeptablen Eingaben, die streng den Spezifikationen entsprechen. Verwerfen Sie Eingaben, die nicht genau den Spezifikationen entsprechen, oder wandeln Sie sie in etwas um, das dies tut.
Berücksichtigen Sie bei der Eingabevalidierung alle potenziell relevanten Eigenschaften, einschließlich Länge, Eingabetyp, den gesamten zulässigen Wertebereich, fehlende oder zusätzliche Eingaben, Syntax, Konsistenz in verwandten Feldern und die Einhaltung von Geschäftsregeln.
Verlassen Sie sich nicht ausschließlich auf die Suche nach schädlichen oder fehlerhaften Eingaben (d.h. Verlassen Sie sich nicht auf eine Blacklist). Bei einer Blacklist wird wahrscheinlich mindestens eine unerwünschte Eingabe übersehen, insbesondere wenn sich die Code-Umgebung ändert. Dadurch können Angreifer genügend Spielraum haben, um die beabsichtigte Validierung zu umgehen. Blacklists können jedoch hilfreich sein, um potenzielle Angriffe zu erkennen oder um festzustellen, welche Eingaben so fehlerhaft sind, dass sie völlig abgelehnt werden sollten.
Faktoren, resultierend aus Missverständnissen von Sonderzeichen, MAID oder Blacklist/Whitelist. Dies kann für Authentifizierungs- und Überprüfungsfehler primär sein.
Datenbanklink zur Schwachstelle
https://cwe.mitre.org/data/definitions/90.html
Sie haben noch Fragen?