*)(ATTRIBUTE_HERE=* 아래 예제에서는 로그인을 목적으로 사용자의 자격 증명을 검증하기 위해 쿼리가 생성됩니다)와 같은 주입에 사용할 수 있습니다. 백서 사차 파우스트: «LDAP 주입: 응용 프로그램이 취약합니까?» – http://www.networkdls.com/articles/ldapinjection.pdf 브루스 그린블랫: «LDAP 개요» – HTTP://WWW.DIRECTORY-APPLICATIONS.COM/LDAP3_FILES/FRAME.HTM IBM 논문: » LDAP 이해» – http://www.redbooks.ibm.com/redbooks/SG244986.html RFC 1960: «LDAP 검색 필터의 문자열 표현»- http://www.ietf.org/rfc/rfc1960.txt «LDAP 주입»- http://www.blackhat.com/presentations/bh-europe-08/Alonso-Parada/Whitepaper/bh-eu-08-alonso-parada-WP.pdf Softerra LDAP 브라우저 – http://www.ldapadministrator.com/ LDAP 결함은 기본적으로 응용 프로그램 계층 취약점입니다. 즉, 방화벽 및 침입 구금 도구와 같은 기존의 보안 조항은 LDAP 주사를 감지하는 데 효과적이지 않습니다. 최소 노출 지점과 «최소 권한» 원칙이 도움이 되지만 이러한 문제에 대한 실제 해결 방법은 다음과 같습니다: CxSAST는 LDAP 명령의 일부로 사용되는 모든 사용자 입력을 따라 LDAP 주입 취약점을 찾아내고 입력이 그렇지 않은 경우 경고합니다. 확인되었거나 확인되었습니다. 변수 $userName 유효성이 검사되지 않으면 다음과 같이 LDAP 주입을 수행 할 수 있습니다 : userPassword 특성은 cn 특성과 같은 문자열이 아니지만 LDAP에서 OCTET STRING이며 모든 개체, 유형, 연산자 등이 참조됩니다. OID : 옥텟스트오더링매치(OID 2.5.13.18). 위의 예에서는 사용자 매개 변수에 *문자를 보내코드의 필터 변수를 초기화합니다(samAccountName=*). 결과 LDAP 문은 서버가 samAccountName 특성을 포함하는 모든 개체를 반환하게 합니다. 또한 공격자는 검색할 다른 특성을 지정할 수 있으며 페이지는 쿼리와 일치하는 개체를 반환합니다. 컴퓨터 보안에서 LDAP 주입은 중요한 사용자 정보를 표시하거나 LDAP(라이트급 디렉터리 액세스 프로토콜) 데이터 저장소에 표시되는 정보를 수정할 수 있는 웹 응용 프로그램을 악용하는 데 사용되는 코드 삽입 기술입니다.
[1] [2] [3] LDAP 주입은 내부 검색, 추가 또는 수정 기능에 전달된 입력 매개 변수를 조작하여 응용 프로그램의 보안 취약점을 악용합니다. 응용 프로그램이 사용자 입력을 제대로 소독하지 못하면 공격자가 LDAP 문을 수정할 수 있습니다. [1] http://ebook.security-portal.cz/book/hacking_method/LDAP/LDAPinjection.pdf 고급 LDAP 주사를 통해 공격자가 임의 명령을 실행하여 무단 권한을 얻고 LDAP 트리입니다. 이러한 고급 주사 외에도 SQL 주입에 사용되는 많은 기술이 LDAP 주입에서 구현될 수도 있습니다. LDAP 주입 예제: 사용자 검색의 경우 다음 코드는 관련 RFC에서 찾을 수 있는 검색 필터를 빌드하는 방법에 대한 보다 완전한 예제를 취할 책임이 있습니다. 입력 유효성 검사가 없는 경우 사용자는 사용자 및 통과 필드에 다음 주입을 삽입할 수 있습니다. 사용자, 호스트 및 기타 여러 개체에 대한 정보를 볼 수 있습니다. LDAP 주입은 서버 측 공격으로 LDAP 구조로 표시되는 사용자 및 호스트에 대한 중요한 정보를 공개, 수정 또는 삽입할 수 있습니다.