LDAP インジェクション

high Web App Scanning プラグイン ID 98127

Language:

概要

LDAP インジェクション

説明

Lightweight Directory Access Protocol (LDAP) は、ディレクトリ情報サービスにアクセスして管理するために Web アプリケーションで使用されます。

LDAP の最も一般的な使用法の 1 つは、シングルサインオン (SSO) サービスを提供することです。これにより、クライアントはやり取りなしで Web サイトで認証できるようになります (SSO プロバイダーによって資格情報が検証されている場合)。

LDAP アプリケーションが、事前のサニタイズなしで LDAP ディレクトリをクエリするために Web アプリケーションによって使用される場合に、LDAP インジェクションが発生します。

これは重大なセキュリティリスクです。これにより、サイバー攻撃者は、LDAP ツリーから何かをクエリ、変更、または削除できる場合があります。また、他のより深刻な攻撃を実行する他の高度な注入手法が可能になる場合があります。

スキャナーは、既知のエラーメッセージに基づいて LDAP インジェクションに脆弱なページを検出できました。

ソリューション

LDAP クエリを作成する際には信頼できないデータを使用しないようにすることをお勧めします。
データを検証するアプリケーションは、指定された値に、必要なアクションを実行するのに必要な文字のみが含まれていることを確認する必要があります。たとえば、ユーザー名が必要な場合、非英数字文字は受け入れられないようにする必要があります。
これが不可能な場合は、特殊文字をエスケープして適切に処理する必要があります。次の文字は「\」でエスケープする必要があります。
* `&` * `!` * `|` * `=` * `<` * `>` * `,` * `+` * `-` * `'` * `'` * `;`
追加の文字フィルタリングを以下に適用する必要があります。
* `(` * `)` * `\` * `/` * `*` * `NULL`
これらの文字には、ASCII エスケープが必要です。