LDAP注射
描述:LDAP注射
当以不安全的方式复制用户控制数据中时,会产生LDAP注入,以在应用程序执行的LDAP查询中。如果攻击者可以将LDAP Metacharacters注入查询,则可以干扰查询的逻辑。根据使用查询的功能,攻击者可能能够检索未授权的敏感数据,或者颠覆应用程序的逻辑以执行一些未经授权的操作。
请注意,基于自动差的LDAP注入缺陷的测试通常可能不可靠,并且容易产生假阳性结果。扫描仪结果应手动审查,以确认是否存在漏洞。
修复:LDAP注射
如果可能的话,应用程序应避免将可控制的数据复制到LDAP查询中。如果这是不可避免的,则应严格验证数据以防止LDAP注射攻击。在大多数情况下,仅允许简短的字母数字字符串复制到查询中是适当的,并且任何其他输入都应被拒绝。至少,应拒绝包含任何LDAP Metacharacters的输入;应该阻止的字符包括();, * |&=和空格。
脆弱性分类
典型的严重程度
高的
类型索引(HEX)
0x00100500
类型索引(十进制)
1049856