LDAP 注入验证绕过

high Web App Scanning 插件 ID 113331

语言：

简介

LDAP 注入验证绕过

描述

Web 应用程序会使用轻型目录访问协议 (LDAP) 访问和维护目录信息服务。

LDAP 最常见的用途之一是提供单点登录 (SSO) 服务，该服务将允许客户端无需任何交互（假设其凭据已经过 SSO 提供程序的验证）即可在网站中进行身份验证。

当 Web 应用程序在未事先审查的情况下，使用不可信的数据查询 LDAP 目录时，就会发生 LDAP 注入。

此为严重的安全风险，因为网络犯罪分子可借此查询、修改相关内容，或者也可从 LDAP 树中删除任何内容。它还可能允许执行其他更严重攻击的其他高级注入技术。

扫描程序能够根据已知的错误消息检测易受 LDAP 注入攻击的页面。

此注入是在扫描程序能够绕过验证机制并访问经验证的页面时检测到的。

解决方案

建议切勿使用不受信任的数据形成 LDAP 查询。
为了验证数据，应用程序应确保提供的值仅包含执行必要操作所需的字符。例如，如果需要用户名，则应接受任何非字母字符。
如果无法执行此操作，则应转义特殊字符，以便对它们进行相应处理。应使用 `\` 对以下字符进行转义：
* `&` * `!` * `|` * `=` * `<` * `>` * `,` * `+` * `-` * `'` * `'` * `;`
必须应用其他字符筛选：
* `(` * `)` * `\` * `/` * `*` * `NULL`
这些字符需要 ASCII 转义。