آسیب پذیری های امنیتی

آسیب پذیری LDAP Injection

Security-Vulnerabilities
شرح آسیب پذیری LDAP Injection:

از پروتکل Lightweight Directory Access Protocol یا به اختصار LDAP به منظور ذخیره‌ی اطلاعاتی درباره‌ کاربران، host ها و بسیاری از سایر objectها استفاده می‌شود. همچنین امروزه فرآیند هایی نظیر Authenticate کاربران در سامانه ها نیز با استفاده از این پروتکل انجام می پذیرد. آسیب پذیری LDAP Injection یک آسیب‌پذیری سمت سرور است و برنامه‌های کاربردی وب که بر اساس ورودی‌های کاربر، دستورات و عبارات LDAP را می‌سازند، موردحمله قرار می‌گیرند. زمانی که برنامه کاربردی وب نمی‌تواند به درستی ورودی‌های کاربر را اعتبارسنجی نماید، مهاجم با استفاده از Proxy های محلی، عبارات LDAP را تغییر می‌دهد. درصورتی‌ که حملات LDAP با موفقیت منجر به این آسیب پذیری شود، ممکن است سطح دسترسی مهاجم جهت اجرای Query های بدون اعتبارسنجی افزایش یابد و حتی محتوای درخت LDAP را تغییر دهد.
مورد دیگری است که در ارتباط با این آسیب پذیری می بایست مورد توجه قرار گیرد. تکنیک مورد استفاده در این آسیب پذیری، همانند تکنیکی است که در SQL Injection مورد استفاده قرار می گیرد.
همچنین موارد ذیل، بزرگترین دلیل رخ دادن این آسیب پذیری می باشند.
– عدم استفاده از Query های Parameterized شده
– استفاده نکردن از Encoding های مناسب توابع

 

چگونه این آسیب پذیری را رفع کنیم ؟

– تا حد ممکن جلوگیری از کپی مستقیم ورودی کاربر در Queryهای LDAP
– عدم پذیرش ورودی‌های شامل LDAP Metacharacters
– عدم پذیرش کاراکترهای ( ) ; , * | & = و whitespace در ورودی کاربر

 

برای مطالعه مقاله اصلی در وبسایت OWASP روی این لینک کلیک نمائید.

برای مشاهده ی سایر آسیب پذیری ها، روی این لینک کلیک نمائید.

author-avatar

درباره میلاد خوشدل

کارشناسی رشته مهندسی نرم افزار و کارشناسی ارشد رشته ی معماری کامپیوتر 8 سال تجربه کاری در زمینه امنیت و تست نفوذ و در حال حاضر نیز به عنوان محقق امنیتی در یک شرکت معتبر داخلی مشغول به کار هستم.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × چهار =