شرح آسیب پذیری:
از پروتکل Lightweight Directory Access Protocol یا به اختصار LDAP به منظور ذخیرهی اطلاعاتی درباره کاربران، host ها و بسیاری از سایر objectها استفاده میشود. LDAP Injection یک آسیبپذیری سمت سرور است و برنامههای کاربردی وب که بر اساس ورودیهای کاربر، دستورات و عبارات LDAP را میسازند، موردحمله قرار میگیرند. زمانی که برنامه کاربردی وب نمیتواند به درستی ورودیهای کاربر را اعتبارسنجی نماید، مهاجم با استفاده از Proxyهای محلی، عبارات LDAP را تغییر میدهد. درصورتیکه حملات LDAP با موفقیت انجام شود، ممکن است سطح دسترسی مهاجم جهت اجرای Query های بدون اعتبارسنجی افزایش یابد و حتی محتوای درخت LDAP را تغییر دهد.
چگونه این آسیب پذیری را رفع کنیم ؟
– تا حد ممکن جلوگیری از کپی مستقیم ورودی کاربر در Queryهای LDAP
– عدم پذیرش ورودیهای شامل LDAP Metacharacters
– عدم پذیرش کاراکترهای ( ) ; , * | & = و whitespace در ورودی کاربر
0 پاسخ به "آسیب پذیری LDAP Injection"