17 Фев, 2023

Внедрение LDAP

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

LDAP (облегченный протокол доступа к каталогам) Инъекция это тип уязвимости безопасности, возникающий, когда злоумышленник вводит вредоносный ввод в запрос LDAP, используемый приложением. LDAP - это протокол, используемый для доступа к информации каталога и управления ею, такой как учетные записи пользователей и учетные данные для проверки подлинности, и обычно используется в корпоративных приложениях.

Злоумышленник может использовать внедрение LDAP для манипулирования запросом LDAP с целью возврата несанкционированной или конфиденциальной информации, изменения данных или получения несанкционированного доступа к приложению или системе. Это можно сделать, вставив специальные символы или код в поля ввода, такие как имена пользователей или пароли, которые могут быть интерпретированы как часть запроса LDAP.

Пример уязвимого кода на разных языках программирования:


в Java:

				
					String username = request.getParameter("username");
String password = request.getParameter("password");

String filter = "(&(objectClass=user)(sAMAccountName=" + username + ")(userPassword=" + password + "))";

NamingEnumeration<SearchResult> results = ctx.search("dc=example,dc=com", filter, null);

				
			


В приведенном выше Java-коде приложение принимает введенные пользователем данные для имени пользователя и пароля и напрямую объединяет их в фильтр LDAP. Злоумышленник может использовать это для внедрения вредоносного фильтра, обхода аутентификации или доступа к неавторизованным данным.

• в Python:

				
					import ldap

username = request.form.get("username")
password = request.form.get("password")

conn = ldap.initialize('ldap://ldap.example.com')
conn.simple_bind_s("cn="+username+",dc=example,dc=com", password)

				
			


В этом коде Python пользовательский ввод объединяется в запрос привязки LDAP. Злоумышленник может использовать это, чтобы внедрить вредоносный запрос привязки, выдать себя за другого пользователя или получить несанкционированный доступ.

• в PHP:

				
					$username = $_POST['username'];
$password = $_POST['password'];

$filter = "(&(objectClass=user)(sAMAccountName=$username)(userPassword=$password))";

$result = ldap_search($ldap, "dc=example,dc=com", $filter);

				
			


В этом PHP-коде пользовательский ввод используется для непосредственного построения фильтра LDAP. Злоумышленник может использовать это для внедрения вредоносного фильтра, обхода аутентификации или доступа к неавторизованным данным.

Примеры использования внедрения LDAP

Несанкционированный доступ:
Злоумышленник может внедрить специально созданный запрос LDAP, который обойдет проверку подлинности и позволит им получить доступ к конфиденциальной информации или выполнить несанкционированные действия в каталоге LDAP. Например, злоумышленник может изменить запрос LDAP, чтобы обойти проверку подлинности и получить пароль учетной записи администратора.

Утечка данных:
Злоумышленник может внедрить вредоносный запрос LDAP, который вернет конфиденциальную информацию, доступ к которой у него не разрешен. Например, злоумышленник может изменить запрос LDAP, чтобы получить личную информацию (PII) всех пользователей в каталоге.

Отказ в обслуживании (DoS):
Злоумышленник может внедрить вредоносный запрос LDAP, который приведет к чрезмерному потреблению сервером LDAP ресурсов, что приведет к отказу в обслуживании. Например, злоумышленник может изменить запрос LDAP для выполнения большого количества поисковых запросов, которые потребляли бы большой объем памяти или ресурсов процессора.

Внедрение вредоносного кода: злоумышленник может внедрить вредоносный код в запрос LDAP, который будет выполняться на сервере LDAP. Например, злоумышленник может изменить запрос LDAP для выполнения команды, которая создаст бэкдор или установит вредоносное ПО на сервер LDAP.

Методы повышения привилегий для внедрения LDAP

Измените членство пользователя в группе:
Злоумышленник может изменить запрос LDAP, чтобы добавить свою собственную учетную запись пользователя в привилегированную группу, такую как группа администраторов домена в Active Directory. Это предоставило бы злоумышленнику административный доступ ко всему домену.

Измените привилегии пользователя:
Злоумышленник может изменить запрос LDAP, чтобы предоставить своей собственной учетной записи пользователя дополнительные привилегии, такие как возможность изменять системные настройки или получать доступ к конфиденциальным данным.

Выдавать себя за другого пользователя:
Злоумышленник может изменить запрос LDAP, чтобы выдать себя за другую учетную запись пользователя с более высокими привилегиями, например администратора. Это дало бы злоумышленнику доступ к конфиденциальным данным или возможность выполнять действия, которые обычно ограничены для олицетворяемого пользователя.

Измените разрешения пользователя на управление доступом:
Злоумышленник может изменить запрос LDAP, чтобы изменить разрешения управления доступом учетной записи пользователя, позволяя им получать доступ или изменять данные, доступ к которым им не разрешен.

Общая методология и контрольный список для внедрения LDAP

Методология:

  1. Определите входные точки: Определите все поля пользовательского ввода, которые используются в запросах LDAP или связанных с LDAP функциях приложения. Это могут быть формы входа в систему, формы поиска и формы профиля пользователя.

  2. Идентификация сервера LDAP: Определите сервер LDAP, используемый приложением, и любые соответствующие сведения, такие как номер порта LDAP, базовый DN и фильтры поиска.

  3. Определите формат запроса LDAP: Понимать синтаксис и структуру запросов LDAP, используемых приложением. Это может включать тип запроса, используемый язык запроса (например, фильтры LDAP) и любые соответствующие параметры.

  4. Разработка полезных нагрузок для атаки: Разработайте набор полезных нагрузок для атаки, которые проверяют различные типы уязвимостей для внедрения LDAP. Они могут включать простые полезные нагрузки, которые проверяют внедрение SQL, а также более сложные полезные нагрузки, которые проверяют синтаксис и функции, специфичные для LDAP.

  5. Выполнить полезную нагрузку атаки: Используйте инструмент тестирования или ручное тестирование для выполнения полезных нагрузок атаки против входных точек, определенных на шаге 1. Наблюдайте за результатами атак, включая любые сообщения об ошибках или неожиданное поведение.

  6. Проанализируйте результаты: Проанализируйте результаты атак, чтобы определить, были ли выявлены какие-либо уязвимости для внедрения LDAP. Документируйте любые результаты, включая тип уязвимости, затронутую точку ввода и шаги по воспроизведению уязвимости.

  7. Расставьте приоритеты и сообщите о результатах: Определите приоритетность выявленных уязвимостей в зависимости от их серьезности и вероятности использования. Создайте отчет, в котором кратко изложите выводы, включая любые рекомендуемые шаги по исправлению положения, и поделитесь отчетом с соответствующими заинтересованными сторонами.

  8. Повторное тестирование и проверка исправлений: Повторите тестирование приложения, чтобы убедиться, что выявленные уязвимости были устранены, и убедиться, что не было введено новых уязвимостей.

Набор инструментов для эксплуатации Внедрение LDAP

Ручные инструменты:

  • ldapsearch: Инструмент командной строки, который позволяет пользователям запрашивать сервер LDAP с использованием различных фильтров и параметров поиска.

  • Apache Directory Studio: Приложение на основе Eclipse для просмотра и запроса каталогов LDAP. Может использоваться для проверки уязвимостей при внедрении LDAP.

  • Softerra LDAP Browser: Графический инструмент для просмотра и запроса каталогов LDAP. Может использоваться для проверки уязвимостей при внедрении LDAP.

  • JXplorer: Браузер и редактор LDAP на основе Java, которые можно использовать для тестирования уязвимостей LDAP injection.

  • ADSI Edit: Оснастка Microsoft Management Console, предоставляющая графический интерфейс для редактирования объектов Active Directory и управления ими. Может использоваться для проверки уязвимостей при внедрении LDAP в средах Active Directory.

Автоматизированные инструменты:

  • Burp Suite Pro: Средство тестирования безопасности веб-приложений, которое включает в себя ряд функций для тестирования уязвимостей при внедрении LDAP, таких как специализированный инструмент для внедрения LDAP.

  • sqlmap: Инструмент с открытым исходным кодом для тестирования уязвимостей SQL-инъекций, который также можно использовать для тестирования уязвимостей LDAP-инъекций.

  • Metasploit: Инструмент тестирования на проникновение, который включает в себя модуль для использования уязвимостей при внедрении LDAP.

  • Nessus: Средство сканирования уязвимостей, которое может обнаруживать уязвимости при внедрении LDAP в приложениях и службах с поддержкой LDAP.

  • Nmap: Средство исследования сети и сканирования уязвимостей, которое можно использовать для выявления служб и приложений с поддержкой LDAP, которые могут быть уязвимы для внедрения LDAP.

  • OpenVAS: Инструмент сканирования уязвимостей с открытым исходным кодом, который может обнаруживать уязвимости при внедрении LDAP в приложениях и службах с поддержкой LDAP.

  • Wfuzz: Инструмент фаззинга веб-приложений с открытым исходным кодом, который можно использовать для проверки уязвимостей при внедрении LDAP.

  • OWASP ZAP: Инструмент тестирования безопасности веб-приложений с открытым исходным кодом, который включает в себя специализированный модуль тестирования внедрения LDAP.

  • Nikto: Средство сканирования уязвимостей веб-сервера, которое может обнаруживать уязвимости при внедрении LDAP в приложениях и службах с поддержкой LDAP.

  • Skipfish: Сканер безопасности веб-приложений, который можно использовать для проверки уязвимостей при внедрении LDAP.

  • Wapiti: Средство тестирования безопасности веб-приложений, которое можно использовать для проверки уязвимостей при внедрении LDAP.

Плагины для браузера:

  • LDAP Injection Detector: Расширение браузера для Firefox и Chrome, которое может обнаруживать потенциальные уязвимости при внедрении LDAP в веб-приложения.

  • Tamper Data: Расширение Firefox, которое позволяет пользователям изменять и перехватывать запросы и ответы HTTP / HTTPS, что может быть полезно для тестирования уязвимостей при внедрении LDAP.

Средний балл CVSS Внедрение стека LDAP

Общая система оценки уязвимостей (CVSS) представляет собой основу для оценки серьезности уязвимостей в системе безопасности. Оценка CVSS учитывает множество факторов, таких как возможность использования уязвимости, потенциальное воздействие на систему или приложение и уровень сложности, необходимый для использования уязвимости.

Средний балл CVSS для уязвимостей, связанных с внедрением LDAP, может варьироваться в зависимости от конкретной уязвимости и ее воздействия. Однако в целом уязвимости, связанные с внедрением LDAP, можно считать серьезными и потенциально уязвимыми уязвимостями высокой степени опасности, при этом оценки CVSS варьируются от 6.0 до 10.0 или выше.

Важно отметить, что серьезность уязвимости при внедрении LDAP также может зависеть от таких факторов, как сложность, необходимая для использования уязвимости, уровень доступа или привилегий, которые могут быть получены с помощью эксплойта, и потенциальное воздействие на уязвимую систему или приложение.

Общее перечисление слабых мест (CWE)

CWE-89: Неправильная нейтрализация специальных элементов, используемых в команде SQL ("SQL-инъекция"): эта CWE является одной из наиболее распространенных и хорошо известных уязвимостей веб-приложений. Это происходит, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед использованием в SQL-запросе, что позволяет злоумышленнику манипулировать запросом для выполнения непреднамеренных действий или извлечения несанкционированных данных. Последствия успешной атаки с использованием SQL-инъекций могут быть серьезными, начиная от утечки данных и заканчивая полной компрометацией системы.

CWE-90: Неправильная нейтрализация специальных элементов, используемых в запросе LDAP ("Внедрение LDAP"): этот CWE похож на внедрение SQL, но встречается в запросах LDAP. Это происходит, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед использованием в запросе LDAP, что позволяет злоумышленнику манипулировать запросом для выполнения непреднамеренных действий или извлечения несанкционированных данных.

CWE-91: внедрение XML (также известное как слепое внедрение XPath): Этот CWE возникает, когда злоумышленник может ввести вредоносный ввод в XML-документ или выражение XPath, что может привести к несанкционированному доступу или утечке данных. Это может произойти, если приложение неправильно проверяет или очищает вводимые пользователем данные перед их использованием в XML-документе или выражении XPath.

CWE-95: Неправильная нейтрализация директив в динамически оцениваемом коде (‘Eval Injection’): этот CWE возникает, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед использованием в функции динамической оценки кода, что позволяет злоумышленнику внедрять вредоносный код и потенциально выполнять произвольный код на сервере.

CWE-113: неправильная нейтрализация последовательностей CRLF в заголовках HTTP ("Разделение ответа HTTP"): этот CWE возникает, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед использованием в заголовке HTTP, что позволяет злоумышленнику вводить дополнительные заголовки HTTP или манипулировать ответом для выполнения непреднамеренных действий.

CWE-184: неполный черный список для межсайтовых сценариев: этот CWE возникает, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед отображением на веб-странице, что позволяет злоумышленнику внедрять вредоносные сценарии, которые могут выполняться другими пользователями, посещающими страницу.

CWE-434: неограниченная загрузка файла с опасным типом: этот CWE возникает, когда приложение позволяет пользователям загружать файлы без надлежащей проверки или очистки типа файла и содержимого, что потенциально позволяет злоумышленнику загружать вредоносные файлы и выполнять произвольный код на сервере.

CWE-601: перенаправление URL-адреса на ненадежный сайт ("Открытое перенаправление"): это перенаправление происходит, когда приложение разрешает использование непроверенных входных данных при перенаправлении URL-адреса, что потенциально позволяет злоумышленнику перенаправлять пользователей на вредоносный веб-сайт.

CWE-611: неправильное ограничение ссылки на внешнюю сущность XML: это CWE возникает, когда приложение анализирует входные данные XML из ненадежного источника без надлежащей проверки или очистки, что потенциально позволяет злоумышленнику получить доступ к конфиденциальным данным на сервере.

CWE-943: неправильная нейтрализация специальных элементов в логике запроса данных: этот CWE возникает, когда вводимые пользователем данные не проверяются или не обрабатываются должным образом перед использованием в логике запроса данных, что позволяет злоумышленнику манипулировать запросом для выполнения непреднамеренных действий или извлечения несанкционированных данных. Это может происходить в различных контекстах, включая LDAP, SQL, XPath и другие типы запросов.

Топ-10 CVE, связанных с внедрением LDAP

CVE-2023-23749 – Расширение "Интеграция LDAP с Active Directory и OpenLDAP – NTLM и Kerberos Login" уязвимо для внедрения LDAP, поскольку неправильно очищает параметр POST ‘username’. Злоумышленник может манипулировать этим параметром для сброса произвольного содержимого из базы данных LDAP.

CVE-2023-0476 – Уязвимость для внедрения LDAP существует в Tenable.sc из-за неправильной проверки введенных пользователем данных перед их возвратом пользователям. Прошедший проверку подлинности злоумышленник может генерировать данные в Active Directory, используя учетную запись приложения, путем слепого внедрения LDAP.

CVE-2022-45910 – Неправильная нейтрализация специальных элементов, используемых в запросе LDAP ("Внедрение LDAP") уязвимость в соединителях полномочий ActiveDirectory и Sharepoint ActiveDirectory Apache ManifoldCF позволяет злоумышленнику манипулировать поисковыми запросами LDAP (DoS, дополнительные запросы, манипуляции с фильтрами) во время поиска пользователя, если имя пользователя или строка домена передаются в сервлет UserACLs без проверки. Эта проблема затрагивает Apache ManifoldCF версии 2.23 и более ранних версий.

CVE-2022-45046 – НЕ ИСПОЛЬЗУЙТЕ ЭТОТ НОМЕР КАНДИДАТА. Консультанты: нет. Причина: Этот кандидат был отозван его CNA. Дальнейшее расследование показало, что это не было проблемой безопасности. Примечания: нет.

CVE-2022-29155 – В OpenLDAP 2.x до 2.5.12 и 2.6.x до 2.6.2 уязвимость SQL-инъекции существует в экспериментальной серверной части slapd с использованием SQL-инструкции в запросе LDAP. Это может произойти во время операции поиска LDAP при обработке фильтра поиска из-за отсутствия надлежащего экранирования.

CVE-2022-22975 – В программе Pinniped Supervisor была обнаружена проблема с ресурсами LADPIdentityProvider или ActiveDirectoryIdentityProvider. Атака будет включать в себя изменение злоумышленником общего имени (CN) своей записи пользователя на сервере LDAP или AD для включения специальных символов, которые могут быть использованы для выполнения внедрения запроса LDAP в LDAP-запрос Супервизора, который определяет их членство в группе Kubernetes.

CVE-2022-22360 – IBM Sterling Partner Engagement Manager 6.1.2, 6.2 и Cloud/ SasS 22.2 могут позволить злоумышленнику с удаленной аутентификацией выполнить внедрение LDAP. Используя специально созданный запрос, злоумышленник может воспользоваться этой уязвимостью и может привести к предоставлению разрешений на несанкционированные ресурсы. Идентификатор IBM X-Force: 220782.

CVE-2021-43350 – Не прошедший проверку подлинности пользователь Apache Traffic Control Traffic Ops может отправить запрос со специально созданным именем пользователя в конечную точку POST / login любой версии API для ввода несанкционированного содержимого в фильтр LDAP.

CVE-2021-41232 – Thunderdome - это инструмент для гибкого планирования покера с открытым исходным кодом на тему борьбы за очки. В затронутых версиях существует уязвимость для внедрения LDAP, которая влияет на экземпляры с включенной аутентификацией LDAP. Предоставленное имя пользователя не экранировано должным образом. Эта проблема была исправлена в версии 1.16.3. Если пользователи не могут выполнить обновление, они должны отключить функцию LDAP, если она используется.

CVE-2021-39031 – IBM WebSphere Application Server – Liberty с 17.0.0.3 по 22.0.0.1 может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить внедрение LDAP. Используя специально созданный запрос, злоумышленник может воспользоваться этой уязвимостью и может привести к предоставлению разрешений на несанкционированные ресурсы. Идентификатор IBM X-Force: 213875.

Внедрение LDAP подвиги

Внедрение запроса LDAP: Этот тип атаки включает внедрение вредоносного ввода в запрос LDAP, что может привести к несанкционированному доступу к данным или компрометации системы.

Внедрение атрибутов LDAP: Этот тип атаки включает внедрение вредоносного ввода в атрибут LDAP, что может привести к изменению данных LDAP или несанкционированному доступу к конфиденциальной информации.

Внедрение LDAP при аутентификации пользователя: Этот тип атаки включает в себя внедрение вредоносного ввода в процесс аутентификации пользователя, что может привести к обходу аутентификации пользователя и несанкционированному доступу к системе.

Внедрение LDAP в поисковые фильтры: Этот тип атаки включает в себя внедрение вредоносного ввода в поисковые фильтры, что может привести к обходу контроля доступа и несанкционированному доступу к конфиденциальной информации.

Слепая инъекция LDAP: Этот тип атаки включает в себя внедрение вредоносного ввода в запрос LDAP, где ответ на запрос не отображается пользователю. Это может затруднить обнаружение и использование уязвимости.

Внедрение LDAP в URL-адрес LDAP: Этот тип атаки включает внедрение вредоносного ввода в URL-адрес LDAP, что может привести к несанкционированному доступу к конфиденциальной информации или компрометации системы.

Внедрение LDAP в базу поиска LDAP: Этот тип атаки включает в себя внедрение вредоносного ввода в базу поиска LDAP, что может привести к несанкционированному доступу к конфиденциальной информации или компрометации системы.

Внедрение LDAP в имена атрибутов LDAP: Этот тип атаки включает внедрение вредоносного ввода в имена атрибутов LDAP, что может привести к изменению данных LDAP или несанкционированному доступу к конфиденциальной информации.

Внедрение LDAP в имена объектов LDAP: Этот тип атаки включает внедрение вредоносного ввода в имена объектов LDAP, что может привести к изменению данных LDAP или несанкционированному доступу к конфиденциальной информации.

Внедрение LDAP в членство в группах LDAP: Этот тип атаки включает в себя внедрение вредоносного ввода в членство в группах LDAP, что может привести к изменению данных LDAP или несанкционированному доступу к конфиденциальной информации.

Практикуясь в тестировании на Внедрение LDAP

Ознакомьтесь с LDAP и языком запросов LDAP:
Прежде чем вы сможете протестировать внедрение LDAP, вам необходимо иметь базовое представление о том, что такое LDAP, как он работает и как писать запросы LDAP.

Узнайте об уязвимостях при внедрении LDAP:
Ознакомьтесь с распространенными уязвимостями и методами атак, связанными с внедрением LDAP. Это поможет вам выявить потенциальные уязвимости при тестировании.

Настройка тестовой среды:
Вам понадобится тестовая среда, включающая сервер LDAP, веб-приложение, взаимодействующее с сервером LDAP, и инструменты для тестирования и анализа запросов LDAP.

Определите потенциальные точки впрыска:
Проанализируйте веб-приложение и определите потенциальные точки внедрения, такие как поля поиска, формы входа или другие области, где пользовательский ввод используется для построения запросов LDAP.

Проверка тестовых входных данных:
Попытайтесь ввести вредоносный ввод в эти поля ввода и протестируйте проверку ввода приложением. Ищите сообщения об ошибках, неожиданные результаты или другие признаки того, что приложение уязвимо для внедрения.

Тестовое кодирование входного сигнала:
Проверьте, правильно ли приложение кодирует вводимые пользователем данные, прежде чем использовать его для построения запросов LDAP. Попытайтесь обойти любые существующие механизмы кодирования или фильтрации.

Тест на слепую инъекцию LDAP:
Проверьте слепое внедрение LDAP, введя запросы, которые не возвращают никаких видимых результатов. Это может быть сложнее, но таким образом все же можно выявить уязвимости.

Используйте автоматизированные инструменты:
Используйте автоматические инструменты, такие как ldap_injection, Burp Suite или sqlmap, чтобы помочь выявить уязвимости и сгенерировать тестовые примеры.

Проверьте результаты:
Убедитесь, что все выявленные уязвимости реальны, попытавшись использовать их и протестировав влияние на сервер LDAP и веб-приложение.

Документируйте результаты:
Документируйте любые уязвимости, включая вектор атаки, воздействие и возможные меры по их устранению, и сообщайте о них соответствующим сторонам.

Для изучения инъекции LDAP

ОВАСП: Проект Open Web Application Security Project (OWASP) предоставляет обзор внедрения LDAP, включая риски и потенциальное влияние этой уязвимости. OWASP также предоставляет рекомендации по предотвращению внедрения LDAP, а также методы тестирования для выявления потенциальных уязвимостей.

Институт САНС: Институт SANS предоставляет программы обучения и сертификации в области информационной безопасности, включая курс по тестированию на проникновение веб-приложений, который охватывает внедрение LDAP. Курс охватывает основы внедрения LDAP, а также более сложные темы, такие как слепое внедрение LDAP.

NIST: Национальный институт стандартов и технологий (NIST) предоставляет руководящие принципы и лучшие практики для безопасной разработки программного обеспечения, включая рекомендации по предотвращению внедрения LDAP. В руководстве рассказывается о том, как проверять вводимые пользователем данные, очищать запросы LDAP и избегать распространенных ошибок в кодировании, которые могут привести к уязвимостям.

Книги: Существует несколько книг по безопасности веб-приложений, в которых подробно описывается внедрение LDAP, в том числе “Руководство хакера веб-приложений” Дафида Штуттарда и Маркуса Пинто и “Взлом веб-приложений: Серия ”Искусство взлома" Дэфидда Штуттарда.

Онлайн-курсы: Также доступно несколько онлайн-курсов, посвященных внедрению LDAP, включая курсы на популярных платформах электронного обучения, таких как Udemy и Coursera.

Практика: Практика тестирования для внедрения LDAP в лабораторной среде также может быть полезным способом обучения. Настройте тестовую среду с сервером LDAP и веб-приложением, которое взаимодействует с сервером, и практикуйте тестирование на наличие уязвимостей с использованием ручных методов и автоматизированных инструментов.

Книги с обзором внедрения LDAP

“Безопасность веб-приложений: руководство для начинающих” Брайан Салливан и Винсент Лью – Эта книга представляет собой введение в безопасность веб-приложений и включает раздел о внедрении LDAP. В нем рассматриваются основы работы LDAP и приводятся примеры того, как обнаруживать и предотвращать инъекционные атаки.

“Руководство хакера веб-приложений: поиск и использование недостатков безопасности” Дэфидд Штуттард и Маркус Пинто – Эта книга представляет собой всеобъемлющее руководство по тестированию безопасности веб-приложений и подробно описывает внедрение LDAP. В нем содержится подробное объяснение того, как работают атаки с использованием LDAP-инъекций и как их предотвратить.

“Взлом веб-приложений: Серия ”Искусство взлома" автор: Дафидд Штуттард – В этой книге рассматривается широкий спектр методов взлома веб-приложений, включая внедрение LDAP. В нем приведены пошаговые примеры того, как выполнять атаки с использованием LDAP-инъекций и как их предотвратить.

“Black Hat Python: программирование на Python для хакеров и пентестеров” автор: Джастин Зейтц – В этой книге представлено руководство по использованию Python для взлома и пентестирования, включая примеры использования уязвимостей, связанных с внедрением LDAP.

“Запутанная сеть: руководство по обеспечению безопасности современных веб-приложений” Михал Залевский – В этой книге представлен всеобъемлющий обзор безопасности веб-приложений и подробно рассматривается внедрение LDAP. Он включает в себя примеры того, как обнаруживать и предотвращать инъекционные атаки.

“Взлом серой шляпы: руководство этичного хакера” Аллен Харпер, Дэниел Регаладо и Райан Линн – Эта книга представляет собой руководство по этическим методам взлома и включает раздел о внедрении LDAP. В нем рассказывается о том, как выявлять и использовать уязвимости при внедрении LDAP, а также о том, как их предотвратить.

“Основы взлома и тестирования на проникновение: этичный взлом и тестирование на проникновение стали проще” автор: Патрик Энгебретсон – Эта книга представляет собой вводное руководство по взлому и пентестированию и включает раздел о внедрении LDAP. В нем рассматриваются основы того, как работают атаки с использованием LDAP-инъекций и как их предотвратить.

“Тестирование на проникновение: практическое введение во взлом” автор Джорджия Вайдман – Эта книга представляет собой руководство по тестированию на проникновение и включает раздел о внедрении LDAP. В нем рассказывается о том, как выявлять и использовать уязвимости при внедрении LDAP, а также о том, как их предотвратить.

“Профессиональное тестирование на проникновение: создание и функционирование официальной хакерской лаборатории” автор: Томас Вильгельм – Эта книга представляет собой руководство по созданию и эксплуатации лаборатории тестирования на проникновение и включает раздел о внедрении LDAP. В нем рассказывается о том, как выявлять и использовать уязвимости при внедрении LDAP, а также о том, как их предотвратить.

“Искусство оценки безопасности программного обеспечения: выявление и предотвращение уязвимостей программного обеспечения” автор: Марк Дауд, Джон Макдональд и Джастин Шух – Эта книга представляет собой всеобъемлющее руководство по безопасности программного обеспечения, включая раздел о внедрении LDAP. В нем рассказывается о том, как выявлять и предотвращать уязвимости при внедрении LDAP, а также другие распространенные недостатки безопасности.

Список полезных нагрузок для внедрения LDAP

Вот список некоторых распространенных полезных нагрузок для внедрения LDAP:

  1. *
  2. *)(uid=*))(|(uid=
  3. )(uid=
  4. ou=<script>alert(1)</script>
  5. admin)(!(cn=
  6. (&(objectClass=*)(uid=*))
  7. */*
  8. *)(uid=*
  9. |(objectClass=*)
  10. &<script>alert(1)</script>
  11. )(uid=*))(|(uid=*
  12. */*
  13. (&(objectClass=*))
  14. (
  15. |(uid=*))
  16. *
  17. *)(�
  18. )(objectClass=*)
  19. *)(uid=*))(|(uid=
  20. ))(|(password=*))

Как быть защищенным от внедрения LDAP

  1. Проверка входных данных: Убедитесь, что все входные данные, полученные от пользователя, должным образом проверены и очищены, прежде чем они будут использоваться для построения запросов LDAP. Это включает в себя проверку входных данных на тип, длину и формат, чтобы убедиться, что они соответствуют ожидаемым значениям.

  2. Параметризованные запросы: Используйте параметризованные запросы вместо конкатенации строк для построения запросов LDAP. Параметризованные запросы разделяют запрос и его параметры, что предотвращает внедрение злоумышленниками вредоносного ввода в запрос.

  3. Принцип наименьших привилегий: Ограничьте разрешения учетной записи пользователя, используемой для выполнения запросов LDAP. Предоставляйте учетной записи только минимально необходимые разрешения для выполнения ее задач. Это может помочь свести к минимуму воздействие атаки с использованием LDAP-инъекции.

  4. Очистка пользовательского ввода: Удалите специальные символы и символы из пользовательского ввода, такие как кавычки и точки с запятой, чтобы злоумышленники не могли вводить команды.

  5. Регулярно обновляйте и исправляйте системы: Обновляйте программное обеспечение и системы с помощью последних исправлений и обновлений для защиты от известных уязвимостей.

  6. Используйте брандмауэр веб-приложений: Внедрите брандмауэр веб-приложений, который может обнаруживать и блокировать атаки с использованием LDAP-инъекций.

  7. Обучение и осведомленность: Обучите разработчиков и системных администраторов тому, как распознавать и предотвращать атаки с использованием LDAP-инъекций. Это включает в себя понимание рисков, связанных с внедрением LDAP, и рекомендации по безопасному кодированию и настройке.

Меры по смягчению последствий внедрения LDAP

  1. Используйте проверку входных данных: Убедитесь, что все входные данные, полученные от пользователя, должным образом проверены и очищены, прежде чем они будут использоваться для построения запросов LDAP. Это включает в себя проверку входных данных на тип, длину и формат, чтобы убедиться, что они соответствуют ожидаемым значениям.

  2. Параметризованные запросы: Используйте параметризованные запросы вместо конкатенации строк для построения запросов LDAP. Параметризованные запросы разделяют запрос и его параметры, что предотвращает внедрение злоумышленниками вредоносного ввода в запрос.

  3. Принцип наименьших привилегий: Ограничьте разрешения учетной записи пользователя, используемой для выполнения запросов LDAP. Предоставляйте учетной записи только минимально необходимые разрешения для выполнения ее задач. Это может помочь свести к минимуму воздействие атаки с использованием LDAP-инъекции.

  4. Используйте подготовленные инструкции: Если вы создаете запросы LDAP вручную, то используйте подготовленные инструкции для экранирования пользовательских вводимых данных перед отправкой их в запросы LDAP.

  5. Очистка пользовательского ввода: Удалите специальные символы и символы из пользовательского ввода, такие как кавычки и точки с запятой, чтобы злоумышленники не могли вводить команды.

  6. Регулярно обновляйте и исправляйте системы: Обновляйте программное обеспечение и системы с помощью последних исправлений и обновлений для защиты от известных уязвимостей.

  7. Используйте брандмауэр веб-приложений: Внедрите брандмауэр веб-приложений, который может обнаруживать и блокировать атаки с использованием LDAP-инъекций.

  8. Используйте разрешения на уровне приложения: Используйте разрешения уровня приложения, которые обеспечивают контроль доступа для защиты от несанкционированного доступа.

  9. Аутентификация пользователя: Должна быть реализована надлежащая аутентификация, чтобы гарантировать, что только аутентифицированным пользователям разрешено выполнять запросы LDAP.

  10. Отключить анонимную привязку: Отключите анонимную привязку на вашем сервере LDAP, чтобы предотвратить несанкционированный доступ к каталогу LDAP.

Заключение

Внедрение LDAP это серьезная угроза безопасности, которая может быть использована злоумышленниками для получения несанкционированного доступа к конфиденциальной информации и системам. Это происходит, когда злоумышленник вводит вредоносный ввод в запрос LDAP, что может привести к выполнению непреднамеренных и потенциально опасных команд. Внедрение LDAP можно предотвратить с помощью комбинации проверки входных данных, параметризованных запросов, принципа наименьших привилегий и других методов смягчения последствий. Важно, чтобы организации знали об этой уязвимости и принимали надлежащие меры для защиты своих систем и данных от эксплуатации. Регулярное тестирование безопасности и обновления могут помочь выявить и устранить любые уязвимости, прежде чем они могут быть использованы злоумышленниками.

Другие Услуги

Готовы к безопасности?

Связаться с нами