17 Лют, 2023

Впровадження LDAP

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

LDAP (полегшений протокол доступу до каталогів) Ін'єкція це тип уразливості безпеки, що виникає, коли зловмисник вводить шкідливий введення в запит LDAP, використовуваний додатком. LDAP - це протокол, який використовується для доступу до інформації каталогу і управління нею, такої як облікові записи користувачів і облікові дані автентифікації, і зазвичай використовується в корпоративних додатках.

Зловмисник може використовувати впровадження LDAP для маніпулювання запитом LDAP з метою повернення несанкціонованої або конфіденційної інформації, зміни даних або отримання несанкціонованого доступу до програми або системи. Це можна зробити, встановивши спеціальні символи або код поля введення, такі як імена користувачів і паролі, які можуть бути інтерпретовані як частину запиту LDAP.

Приклад уразливого коду на різних мовах програмування:


В Java:

				
					String username = request.getParameter("username");
String password = request.getParameter("password");

String filter = "(&(objectClass=user)(sAMAccountName=" + username + ")(userPassword=" + password + "))";

NamingEnumeration<SearchResult> results = ctx.search("dc=example,dc=com", filter, null);

				
			


У наведеному вище Java-коді програма приймає дані, введені користувачем для імені користувача і пароля і безпосередньо поєднує їх у фільтр LDAP. Зловмисник може використовувати це для впровадження шкідливого фільтра, обходу аутентифікації або доступу до неавторизованим даними.

• в Python:

				
					import ldap

username = request.form.get("username")
password = request.form.get("password")

conn = ldap.initialize('ldap://ldap.example.com')
conn.simple_bind_s("cn="+username+",dc=example,dc=com", password)

				
			


У цьому коді на Python користувальницький введення об'єднується в запит LDAP. Зловмисник може використовувати це, щоб впровадити шкідливий запит прив'язки, видати себе за іншого користувача або отримати несанкціонований доступ.

• В PHP:

				
					$username = $_POST['username'];
$password = $_POST['password'];

$filter = "(&(objectClass=user)(sAMAccountName=$username)(userPassword=$password))";

$result = ldap_search($ldap, "dc=example,dc=com", $filter);

				
			


У цьому PHP-коді користувальницький введення використовується для безпосереднього побудови фільтра LDAP. Зловмисник може використовувати це для впровадження шкідливого фільтра, обходу аутентифікації або доступу до неавторизованим даними.

Приклади використання впровадження LDAP

Несанкціонований доступ:
Зловмисник може впровадити спеціально створений запит LDAP, який обійде перевірку автентичності і дозволить їм отримати доступ до конфіденційної інформації або виконати несанкціоновані дії в каталозі LDAP. Наприклад, зловмисник може змінити запит LDAP, щоб обійти перевірку автентичності та отримати пароль облікового запису адміністратора.

Витік даних:
Зловмисник може впровадити шкідливий запит LDAP, який поверне конфіденційну інформацію, доступ до якої у нього не дозволений. Наприклад, зловмисник може змінити запит LDAP, щоб отримати особисту інформацію (PII) всіх користувачів у каталозі.

Відмова в обслуговуванні (DoS):
Зловмисник може впровадити шкідливий запит LDAP, який призведе до надмірного споживання сервером LDAP ресурсів, що призведе до відмови в обслуговуванні. Наприклад, зловмисник може змінити запит LDAP для виконання великої кількості пошукових запитів, які споживали б великий обсяг пам'яті і ресурсів процесора.

Впровадження шкідливого коду: зловмисник може впровадити шкідливий код в запит LDAP, який буде виконуватися на сервері LDAP. Наприклад, зловмисник може змінити запит LDAP для виконання команди, яка створить бекдор або встановить шкідливе ПЗ на сервер LDAP.

Методи підвищення привілеїв для впровадження LDAP

Змініть користувача членство в групі:
Зловмисник може змінити запит LDAP, щоб додати свою власну обліковий запис користувача в привілейовану групу, таку як група адміністраторів домену Active Directory. Це надало б зловмиснику адміністративний доступ до всього домену.

Змініть привілеї користувача:
Зловмисник може змінити запит LDAP, щоб надати своїй власній облікового запису користувача додаткові привілеї, такі як можливість змінювати системні налаштування або отримувати доступ до конфіденційних даних.

Видавати себе за іншого користувача:
Зловмисник може змінити запит LDAP, щоб видати себе за іншу обліковий запис користувача з більш високими привілеями, наприклад адміністратора. Це дало б зловмиснику доступ до конфіденційних даних або можливість виконувати дії, які зазвичай обмежені для уособленого користувача.

Змініть дозволу на керування доступом:
Зловмисник може змінити запит LDAP, щоб змінити дозволу управління доступом облікового запису користувача, дозволяючи їм отримувати доступ або змінювати дані, доступ до яких їм не дозволено.

Загальна методологія та контрольний список для впровадження LDAP

Методологія:

  1. Визначте вхідні точки: Визначте всі поля користувальницького введення, які використовуються в запитах LDAP або пов'язаних з LDAP функції додатка. Це можуть бути форми входу в систему, форми пошуку та форми профілю користувача.

  2. Ідентифікація сервера LDAP: Визначте сервер LDAP, використовуваний додатком, і будь-які відповідні дані, такі як номер порту LDAP, базовий DN і фільтри.

  3. Визначте формат запиту LDAP: Розуміти синтаксис і структуру запитів LDAP, використовуваних додатком. Це може включати тип запиту, використовуваний мову запиту (наприклад, фільтри LDAP) і будь-які відповідні параметри.

  4. Розробка корисних навантажень для атаки: Розробіть набір корисних навантажень для атаки, які перевіряють різні типи вразливостей для впровадження LDAP. Вони можуть включати прості корисні навантаження, які перевіряють впровадження SQL, а також більш складні корисні навантаження, які перевіряють синтаксис і функції, специфічні для LDAP.

  5. Виконати корисну навантаження атаки: Використовуйте інструмент тестування або ручне тестування для виконання корисних навантажень атаки проти вхідних точок, визначених на кроці 1. Спостерігайте за результатами атак, включаючи будь-які повідомлення про помилки або несподіване поведінку.

  6. Проаналізуйте результати: Проаналізуйте результати атак, щоб визначити, чи були виявлені які-небудь вразливості для впровадження LDAP. Документуйте будь-які результати, включаючи тип вразливості, порушену точку введення і кроки по відтворенню уразливості.

  7. Розставте пріоритети і повідомте про результати: Визначте пріоритетність виявлених вразливостей в залежності від їх серйозності і ймовірності використання. Створіть звіт, в якому коротко викладіть висновки, включаючи будь-які рекомендовані кроки щодо виправлення становища, та поділіться звітом з відповідними зацікавленими сторонами.

  8. Повторне тестування і перевірка виправлень: Повторіть тестування, щоб переконатися, що виявлені уразливості були усунені, і переконатися, що не було введено нових вразливостей.

Набір інструментів для експлуатації Впровадження LDAP

Ручні інструменти:

  • ldapsearch: Інструмент командного рядка, який дозволяє користувачам запитувати сервер LDAP з використанням різних фільтрів і параметрів пошуку.

  • Apache Directory Studio: Додаток на основі Eclipse для перегляду запиту каталогів LDAP. Може використовуватися для перевірки вразливостей при впровадженні LDAP.

  • Softerra LDAP Browser: Графічний інструмент для перегляду і запиту каталогів LDAP. Може використовуватися для перевірки вразливостей при впровадженні LDAP.

  • JXplorer: Переглядач і редактор LDAP на основі Java, які можна використовувати для тестування вразливостей LDAP injection.

  • ADSI Edit: Оснащення Microsoft Management Console, що надає графічний інтерфейс для редагування об'єктів Active Directory і управління ними. Може використовуватися для перевірки вразливостей при впровадженні LDAP в середовищах Active Directory.

Автоматизовані інструменти:

  • Burp Suite Pro: Засіб тестування безпеки веб-додатків, яке включає в себе ряд функцій для тестування вразливостей при впровадженні LDAP, таких як спеціалізований інструмент для впровадження LDAP.

  • sqlmap: Інструмент з відкритим вихідним кодом для тестування вразливостей SQL-ін'єкцій, який також можна використовувати для тестування вразливостей LDAP-ін'єкцій.

  • Metasploit: Інструмент тестування на проникнення, який включає в себе модуль для використання вразливостей при впровадженні LDAP.

  • Nessus: Засіб сканування вразливостей, яке може виявляти уразливості при впровадженні LDAP в додатках і службах з підтримкою LDAP.

  • Nmap: Засіб дослідження мережі та сканування вразливостей, яке можна використовувати для виявлення служб і додатків з підтримкою LDAP, які можуть бути уразливі для впровадження LDAP.

  • OpenVAS: Інструмент сканування вразливостей з відкритим вихідним кодом, який може виявляти уразливості при впровадженні LDAP в додатках і службах з підтримкою LDAP.

  • Wfuzz: Інструмент фаззинга веб-додатків з відкритим вихідним кодом, який можна використовувати для перевірки вразливостей при впровадженні LDAP.

  • OWASP ZAP: Інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, що включає в себе спеціалізований модуль тестування впровадження LDAP.

  • Nikto: Засіб сканування вразливостей веб-сервера, яке може виявляти уразливості при впровадженні LDAP в додатках і службах з підтримкою LDAP.

  • Skipfish: Сканер безпеки веб-додатків, який можна використовувати для перевірки вразливостей при впровадженні LDAP.

  • Wapiti: Засіб тестування безпеки веб-додатків, яке можна використовувати для перевірки вразливостей при впровадженні LDAP.

Плагіни для браузера:

  • LDAP Injection Detector: Розширення для браузера Firefox і Chrome, який може виявляти потенційні уразливості при впровадженні LDAP веб-додатки.

  • Tamper Data: Розширення Firefox, яке дозволяє користувачам змінювати і перехоплювати запити і відповіді HTTP / HTTPS, що може бути корисно для тестування вразливостей при впровадженні LDAP.

Середній бал CVSS Впровадження стека LDAP

Загальна система оцінки вразливостей (CVSS) являє собою основу для оцінки серйозності вразливостей в системі безпеки. Оцінка CVSS враховує безліч факторів, таких як можливість використання уразливості, потенційний вплив на систему або програму і рівень складності, необхідний для використання уразливості.

Середній бал CVSS для вразливостей, пов'язаних з впровадженням LDAP, може змінюватись у залежності від конкретної уразливості і її впливу. Проте в цілому уразливості, пов'язані з впровадженням LDAP, можна вважати серйозними і потенційно уразливими уразливими високого ступеня небезпеки, при цьому оцінки CVSS варіюються від 6.0 до 10.0 або вище.

Важливо відзначити, що серйозність уразливості при впровадженні LDAP також може залежати від таких факторів, як складність, необхідна для використання уразливості, рівень доступу чи привілеїв, які можуть бути отримані з допомогою експлойта, і потенційний вплив на вразливу систему або програму.

Загальна перерахування слабких місць (CWE)

CWE-89: Неправильна нейтралізація спеціальних елементів, використовуваних в команді SQL ("SQL-ін'єкція"): ця CWE є однією з найбільш поширених і добре відомих вразливостей веб-додатків. Це відбувається, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед використанням SQL-запиту, що дозволяє зловмисникові маніпулювати запитом для виконання ненавмисних дій або отримання несанкціонованих даних. Наслідки успішної атаки з використанням SQL-ін'єкцій можуть бути серйозними, починаючи від витоку даних і закінчуючи повною компрометацією системи.

CWE-90: Неправильна нейтралізація спеціальних елементів, використовуваних у запиті LDAP ("Впровадження LDAP"): цей CWE схожий на впровадження SQL, але зустрічається в запитах LDAP. Це відбувається, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед використанням у запиті LDAP, що дозволяє зловмисникові маніпулювати запитом для виконання ненавмисних дій або отримання несанкціонованих даних.

CWE-91: впровадження XML (також відоме як сліпе впровадження XPath): Цей CWE виникає, коли зловмисник може ввести шкідливий введення в XML-документ або вираз XPath, що може призвести до несанкціонованого доступу або витоку даних. Це може статися, якщо додаток неправильно перевіряє чи очищає вводяться користувачем дані перед їх використанням у XML-документі або вираженні XPath.

CWE-95: Неправильна нейтралізація директив в динамічно оцінюваному коді ('Eval Injection'): цей CWE виникає, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед використанням функції динамічної оцінки коду, що дозволяє зловмисникові впроваджувати шкідливий код і потенційно виконувати довільний код на сервері.

CWE-113: неправильна нейтралізація послідовності CRLF в заголовках HTTP ("Поділ відповіді HTTP"): цей CWE виникає, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед використанням в заголовку HTTP, що дозволяє зловмисникові вводити додаткові заголовки HTTP або маніпулювати відповіддю для виконання ненавмисних дій.

CWE-184: неповний чорний список для міжсайтових сценаріїв: цей CWE виникає, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед відображенням на веб-сторінці, що дозволяє зловмисникові впроваджувати шкідливі сценарії, які можуть виконуватися іншими користувачами, відвідують сторінку.

CWE-434: необмежена завантаження файлу з небезпечним типом: цей CWE виникає, коли додаток дозволяє користувачам завантажувати файли без належної перевірки або очищення типу файлу і вмісту, що потенційно дозволяє зловмисникові завантажувати шкідливі файли та виконувати довільний код на сервері.

CWE-601: перенаправлення URL-адреси на ненадійний сайт ("Відкрите перенаправлення"): це перенаправлення відбувається, коли програма дозволяє використання неперевірених вхідних даних, перенаправлення URL-адреси, що потенційно дозволяє зловмисникові перенаправляти користувачів на шкідливий веб-сайт.

CWE-611: неправильне обмеження посилання на зовнішню сутність XML: це CWE виникає, коли додаток аналізує вхідні дані XML з ненадійного джерела без належної перевірки або очищення, що потенційно дозволяє зловмиснику отримати доступ до конфіденційних даних на сервері.

CWE-943: неправильна нейтралізація спеціальних елементів в логіці запиту даних: цей CWE виникає, коли вводяться користувачем дані не перевіряються або не обробляються належним чином перед використанням в логіці запиту даних, що дозволяє зловмисникові маніпулювати запитом для виконання ненавмисних дій або отримання несанкціонованих даних. Це може відбуватися у різних контекстах, включаючи LDAP, SQL, XPath та інші типи запитів.

Топ-10 CVE, пов'язаних з впровадженням LDAP

CVE-2023-23749 – Розширення "LDAP Інтеграція з Active Directory і OpenLDAP – NTLM і Kerberos Login" вразливе для впровадження LDAP, оскільки неправильно очищає параметр POST 'username'. Зловмисник може маніпулювати цим параметром для скидання довільного вмісту бази даних LDAP.

CVE-2023-0476 – Уразливість для впровадження LDAP існує в Tenable.sc із-за неправильної перевірки введених користувачем даних перед їх поверненням користувачам. Пройшов перевірку автентичності зловмисник може генерувати дані в Active Directory, використовуючи обліковий запис програми, шляхом сліпого впровадження LDAP.

CVE-2022-45910 – Неправильна нейтралізація спеціальних елементів, використовуваних у запиті LDAP ("Впровадження LDAP") уразливість в з'єднувачах повноважень ActiveDirectory і Sharepoint ActiveDirectory Apache ManifoldCF дозволяє зловмисникові маніпулювати пошуковими запитами LDAP (DoS, додаткові запити, маніпуляції з фільтрами) під час пошуку користувача, якщо ім'я користувача або рядок домену передаються в сервлет UserACLs без перевірки. Ця проблема зачіпає Apache ManifoldCF версії 2.23 і більш ранніх версій.

CVE-2022-45046 – НЕ ВИКОРИСТОВУЙТЕ ЦЕЙ НОМЕР КАНДИДАТА. Консультанти: немає. Причина: Цей кандидат був відкликаний його CNA. Подальше розслідування показало, що це не було проблемою безпеки. Примітки: немає.

CVE-2022-29155 – В OpenLDAP 2.x до 2.5.12 і 2.6.x до 2.6.2 уразливість SQL-ін'єкції існує в експериментальній серверної частини slapd з використанням SQL-інструкції в запиті LDAP. Це може статися під час операції пошуку LDAP при обробці фільтру пошуку з-за відсутності належного захисту.

CVE-2022-22975 – У програмі Pinniped Supervisor була виявлена проблема з ресурсами LADPIdentityProvider або ActiveDirectoryIdentityProvider. Атака буде включати в себе зміну зловмисником загального імені (CN) своєї запису користувача на сервері LDAP або AD для включення спеціальних символів, які можуть бути використані для виконання впровадження запиту LDAP LDAP-запит Супервізора, який визначає їх членство в групі Kubernetes.

CVE-2022-22360 – IBM Sterling Partner Engagement Manager 6.1.2, 6.2 і Cloud/ SasS 22.2 можуть дозволити зловмиснику з віддаленої аутентифікацією виконати впровадження LDAP. Використовуючи спеціально створений запит, зловмисник може скористатися цією уразливістю і може призвести до надання дозволів на несанкціоновані ресурси. Ідентифікатор IBM X-Force: 220782.

CVE-2021-43350 – Не пройшов перевірку автентичності користувач Apache Traffic Control Traffic Ops може надіслати запит зі спеціально створеним іменем користувача в кінцеву точку POST / login будь-якої версії API для введення несанкціонованого вмісту фільтр LDAP.

CVE-2021-41232 – Thunderdome - це інструмент для гнучкого планування покеру з відкритим вихідним кодом на тему боротьби за очки. В порушених версіях існує вразливість для впровадження LDAP, яка впливає на примірники з включеною аутентифікацією LDAP. Надане ім'я користувача не екрановане належним чином. Ця проблема була виправлена у версії 1.16.3. Якщо користувачі не можуть виконати оновлення, вони повинні відключити функцію LDAP, якщо вона використовується.

CVE-2021-39031 – IBM WebSphere Application Server – Liberty з 17.0.0.3 за 22.0.0.1 може дозволити віддаленого зловмиснику, який пройшов перевірку автентичності, виконати впровадження LDAP. Використовуючи спеціально створений запит, зловмисник може скористатися цією уразливістю і може призвести до надання дозволів на несанкціоновані ресурси. Ідентифікатор IBM X-Force: 213875.

Впровадження LDAP подвиги

Впровадження запиту LDAP: Цей тип атаки включає впровадження шкідливого введення в запит LDAP, що може призвести до несанкціонованого доступу до даним або компрометації системи.

Запровадження атрибутів LDAP: Цей тип атаки включає впровадження шкідливого введення в атрибут LDAP, що може призвести до зміни даних LDAP або несанкціонованого доступу до конфіденційної інформації.

Впровадження LDAP при аутентифікації користувача: Цей тип атаки включає в себе впровадження шкідливого введення в процес аутентифікації користувача, що може призвести до обходу аутентифікації користувача і несанкціонованому доступу до системи.

Впровадження LDAP пошукові фільтри: Цей тип атаки включає в себе впровадження шкідливого введення в пошукові фільтри, що може призвести до обходу контролю доступу та несанкціонованого доступу до конфіденційної інформації.

Сліпа ін'єкція LDAP: Цей тип атаки включає в себе впровадження шкідливого введення в запит LDAP, де відповідь на запит не відображається користувачу. Це може ускладнити виявлення і використання уразливості.

Впровадження LDAP URL-адреса LDAP: Цей тип атаки включає впровадження шкідливого введення в URL-адресу LDAP, що може призвести до несанкціонованого доступу до конфіденційної інформації або компрометації системи.

Впровадження LDAP в базу пошуку LDAP: Цей тип атаки включає в себе впровадження шкідливого введення в базу пошуку LDAP, що може призвести до несанкціонованого доступу до конфіденційної інформації або компрометації системи.

Впровадження LDAP імена атрибутів LDAP: Цей тип атаки включає впровадження шкідливого введення в імена атрибутів LDAP, що може призвести до зміни даних LDAP або несанкціонованого доступу до конфіденційної інформації.

Впровадження LDAP імена об'єктів LDAP: Цей тип атаки включає впровадження шкідливого введення в імена об'єктів LDAP, що може призвести до зміни даних LDAP або несанкціонованого доступу до конфіденційної інформації.

Впровадження LDAP членство в групах LDAP: Цей тип атаки включає в себе впровадження шкідливого введення в членство в групах LDAP, що може призвести до зміни даних LDAP або несанкціонованого доступу до конфіденційної інформації.

Практикуючись в тестуванні на Впровадження LDAP

Ознайомтеся з LDAP і мовою запитів LDAP:
Перш ніж ви зможете протестувати впровадження LDAP, вам необхідно мати базове уявлення про те, що таке LDAP, як він працює і як писати запити до LDAP.

Дізнайтеся про уразливість при впровадженні LDAP:
Ознайомтеся з поширеними уразливими і методами атак, пов'язаними з впровадженням LDAP. Це допоможе вам виявити потенційні уразливості при тестуванні.

Налаштування тестового середовища:
Вам знадобиться тестова середовище, що включає сервер LDAP, веб-додаток, що взаємодіє з сервером LDAP, і інструменти для тестування та аналізу запитів LDAP.

Визначте потенційні точки вприскування:
Проаналізуйте веб-додаток і визначте потенційні точки впровадження, такі як поля пошуку, форми входу або інші області, де користувальницький введення використовується для побудови запитів LDAP.

Перевірка тестових вхідних даних:
Спробуйте ввести шкідливий введення в ці поля введення і протестуйте перевірку введення додатком. Шукайте повідомлення про помилки, несподівані результати або інші ознаки того, що додаток вразливим для впровадження.

Тестове кодування вхідного сигналу:
Перевірте, чи правильно додаток кодує дані, що вводяться користувачем, перш ніж використовувати його для побудови запитів LDAP. Спробуйте обійти будь-які існуючі механізми кодування або фільтрації.

Тест на сліпу ін'єкцію LDAP:
Перевірте сліпе впровадження LDAP, ввівши запити, які не повертають ніяких видимих результатів. Це може бути складніше, але таким чином все ж можна виявити уразливості.

Використовуйте інструменти:
Використовуйте автоматичні інструменти, такі як ldap_injection, Burp Suite або sqlmap, щоб допомогти виявити уразливості і згенерувати тестові приклади.

Перевірте результати:
Переконайтеся, що всі виявлені вразливості реальні, спробувавши використовувати їх і протестувавши вплив на сервер LDAP і веб-додаток.

Документуйте результати:
Документуйте будь уразливості, включаючи вектор атаки, вплив і можливі заходи щодо їх усунення, і повідомляйте про них відповідним сторонам.

Для вивчення ін'єкції LDAP

ОВАСП: Проект Open Web Application Security Project (OWASP) надає огляд впровадження LDAP, включаючи ризики і потенційний вплив цієї уразливості. OWASP також надає рекомендації щодо запобігання впровадження LDAP, а також методи тестування для виявлення потенційних вразливостей.

Інститут САНС: Інститут SANS надає програми навчання та сертифікації в області інформаційної безпеки, включаючи курс з тестування на проникнення веб-додатків, який охоплює впровадження LDAP. Курс охоплює основи впровадження LDAP, а також більш складні теми, такі як сліпе впровадження LDAP.

NIST: Національний інститут стандартів і технологій (NIST) надає керівні принципи та найкращі практики для безпечної розробки програмного забезпечення, включаючи рекомендації щодо запобігання впровадження LDAP. У посібнику розповідається про те, як перевіряти дані, що вводяться користувачем, очищати LDAP запити і уникати поширених помилок в кодуванні, які можуть призвести до вразливостей.

Книги: Існує кілька книг з безпеки веб-додатків, в яких докладно описується впровадження LDAP, в тому числі "Керівництво хакера веб-додатків" Дафида Штуттарда і Маркуса Пінто і "Злом веб-додатків: Серія "Мистецтво злому" Дэфидда Штуттарда.

Онлайн-курси: Також доступно кілька онлайн-курсів, присвячених впровадженню LDAP, включаючи курси на популярних платформах електронного навчання, таких як Udemy і Coursera.

Практика: Практика тестування для впровадження LDAP лабораторної середовищі також може бути корисним способом навчання. Налаштуйте тестову середу з сервером LDAP і веб-додатком, яке взаємодіє з сервером, і практикуйте тестування на наявність вразливостей з використанням ручних методів і автоматизованих інструментів.

Книги з оглядом впровадження LDAP

"Безпека веб-додатків: керівництво для початківців" Брайан Салліван і Вінсент Лью – Ця книга являє собою введення в безпеку веб-додатків і включає розділ про впровадження LDAP. У ньому розглядаються основи роботи LDAP і наводяться приклади того, як виявляти і запобігати ін'єкційні атаки.

"Керівництво хакера веб-додатків: пошук і використання недоліків безпеки" Дэфидд Штуттард і Маркус Пінто – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і детально описує впровадження LDAP. У ньому міститься докладне пояснення того, як працюють атаки з використанням LDAP-ін'єкцій та як їх запобігти.

"Злом веб-додатків: Серія "Мистецтво злому" автор: Дафидд Штуттард – У цій книзі розглядається широкий спектр методів злому веб-додатків, включаючи впровадження LDAP. У ньому описано приклади того, як виконувати атаки з використанням LDAP-ін'єкцій та як їх запобігти.

"Black Hat Python: програмування на Python для хакерів і пентестеров" автор: Джастін Зейтц – У цій книзі представлено керівництво з використання Python для злому і пентестирования, включаючи приклади використання вразливостей, пов'язаних з впровадженням LDAP.

"Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків" Михайло Залевський – У цій книзі представлений всеосяжний огляд безпеки веб-додатків і докладно розглядається впровадження LDAP. Він включає в себе приклади того, як виявляти і запобігати ін'єкційні атаки.

"Злом сірої капелюхи: керівництво етичного хакера" Аллен Харпер, Деніел Регаладо і Райан Лінн – Ця книга являє собою посібник з етичних методів злому і включає розділ про впровадження LDAP. У ньому розповідається про те, як виявляти і використовувати уразливості при впровадженні LDAP, а також про те, як їх запобігти.

"Основи злому і тестування на проникнення: етичний злом і тестування на проникнення стали простіше" автор: Патрік Энгебретсон – Ця книга являє собою вступний керівництво по злому і пентестированию і включає розділ про впровадження LDAP. У ньому розглядаються основи того, як працюють атаки з використанням LDAP-ін'єкцій та як їх запобігти.

"Тестування на проникнення: практичне введення у злом" автор Джорджія Вайдман – Ця книга являє собою керівництво щодо тестування на проникнення і включає розділ про впровадження LDAP. У ньому розповідається про те, як виявляти і використовувати уразливості при впровадженні LDAP, а також про те, як їх запобігти.

"Професійне тестування на проникнення: створення і функціонування офіційної хакерської лабораторії" автор: Томас Вільгельм – Ця книга являє собою керівництво по створенню і експлуатації лабораторії тестування на проникнення і включає розділ про впровадження LDAP. У ньому розповідається про те, як виявляти і використовувати уразливості при впровадженні LDAP, а також про те, як їх запобігти.

"Мистецтво оцінки безпеки програмного забезпечення: запобігання та виявлення вразливостей програмного забезпечення" автор: Марк Дауд, Джон Макдональд і Джастін Шух – Ця книга являє собою всеосяжне керівництво з безпеки програмного забезпечення, включаючи розділ про впровадження LDAP. У ньому розповідається про те, як виявляти і запобігати уразливості при впровадженні LDAP, а також інші поширені вади безпеки.

Список корисних навантажень для впровадження LDAP

Ось список деяких розповсюджених корисних навантажень для впровадження LDAP:

  1. *
  2. *)(uid=*))(|(uid=
  3. )(uid=
  4. ou=<script>alert(1)</script>
  5. admin)(!(cn=
  6. (&(objectClass=*)(uid=*))
  7. */*
  8. *)(uid=*
  9. |(objectClass=*)
  10. &<script>alert(1)</script>
  11. )(uid=*))(|(uid=*
  12. */*
  13. (&(objectClass=*))
  14. (
  15. |(uid=*))
  16. *
  17. *)(&#x00
  18. )(objectClass=*)
  19. *)(uid=*))(|(uid=
  20. ))(|(password=*))

Як бути захищеним від впровадження LDAP

  1. Перевірка вхідних даних: Переконайтеся, що всі вхідні дані, отримані від користувача, належним чином перевірені та очищені, перш ніж вони будуть використані для побудови запитів LDAP. Це включає в себе перевірку вхідних даних на тип, довжину і формат, щоб переконатися, що вони відповідають очікуваним значенням.

  2. Параметризрвані запити: Використовуйте параметризрвані запити замість конкатенації рядків для побудови запитів LDAP. Параметризрвані запити поділяють запит та його параметри, що запобігає впровадження зловмисниками шкідливого введення в запит.

  3. Принцип найменших привілеїв: Обмежте дозволу облікового запису користувача, який використовується для виконання запитів LDAP. Надавайте облікового запису тільки мінімально необхідні дозволи для виконання її завдань. Це може допомогти звести до мінімуму вплив атаки з використанням LDAP-ін'єкції.

  4. Очищення користувальницького введення: Видаліть спеціальні символи і символи з користувальницького введення, такі як лапок і крапки з комою, щоб зловмисники не могли вводити команди.

  5. Регулярно оновлюйте і виправляйте системи: Оновлюйте програмне забезпечення та системи за допомогою останніх виправлень і оновлень для захисту від відомих вразливостей.

  6. Використовуйте брандмауер веб-додатків: Вбудуйте брандмауер веб-додатків, який може виявляти і блокувати атаки з використанням LDAP-ін'єкцій.

  7. Навчання та обізнаність: Навчіть розробників і системних адміністраторів, як розпізнавати і запобігати атаки з використанням LDAP-ін'єкцій. Це включає в себе розуміння ризиків, пов'язаних з впровадженням LDAP, і рекомендації з безпечного кодування і налаштуванні.

Заходи по пом'якшенню наслідків впровадження LDAP

  1. Використовуйте перевірку вхідних даних: Переконайтеся, що всі вхідні дані, отримані від користувача, належним чином перевірені та очищені, перш ніж вони будуть використовуватися для побудови запитів LDAP. Це включає в себе перевірку вхідних даних на тип, довжину і формат, щоб переконатися, що вони відповідають очікуваним значенням.

  2. Параметризрвані запити: Використовуйте параметризрвані запити замість конкатенації рядків для побудови запитів LDAP. Параметризрвані запити поділяють запит та його параметри, що запобігає впровадження зловмисниками шкідливого введення в запит.

  3. Принцип найменших привілеїв: Обмежте дозволу облікового запису користувача, який використовується для виконання запитів LDAP. Надавайте облікового запису тільки мінімально необхідні дозволи для виконання її завдань. Це може допомогти звести до мінімуму вплив атаки з використанням LDAP-ін'єкції.

  4. Використовуйте підготовлені інструкції: Якщо ви створюєте LDAP запити вручну, то використовуйте підготовлені інструкції для екранування користувальницьких даних, що вводяться перед відправкою їх в LDAP запити.

  5. Очищення користувальницького введення: Видаліть спеціальні символи і символи з користувальницького введення, такі як лапок і крапки з комою, щоб зловмисники не могли вводити команди.

  6. Регулярно оновлюйте і виправляйте системи: Оновлюйте програмне забезпечення та системи за допомогою останніх виправлень і оновлень для захисту від відомих вразливостей.

  7. Використовуйте брандмауер веб-додатків: Вбудуйте брандмауер веб-додатків, який може виявляти і блокувати атаки з використанням LDAP-ін'єкцій.

  8. Використовуйте дозволи на рівні додатка: Використовуйте дозволу рівня програми, які забезпечують контроль доступу для захисту від несанкціонованого доступу.

  9. Аутентифікація користувача: Повинна бути реалізована належна аутентифікація, щоб гарантувати, що тільки аутентифікованим користувачам дозволено виконувати запити до LDAP.

  10. Відключити анонімну прив'язку: Вимкніть анонімну прив'язку на вашому сервері LDAP, щоб запобігти несанкціонований доступ до каталогу LDAP.

Висновок

Впровадження LDAP це серйозна загроза безпеці, яка може бути використана зловмисниками для отримання несанкціонованого доступу до конфіденційної інформації і систем. Це відбувається, коли зловмисник вводить шкідливий введення в запит LDAP, що може призвести до виконання ненавмисних і потенційно небезпечних команд. Впровадження LDAP можна запобігти з допомогою комбінації перевірки вхідних даних, параметризованих запитів, принципу найменших привілеїв та інших методів пом'якшення наслідків. Важливо, щоб організації знали про цю уразливість і брали належні заходи для захисту своїх систем і даних від експлуатації. Регулярне тестування безпеки і оновлення можуть допомогти виявити і усунути будь-які проблеми, перш ніж вони можуть бути використані зловмисниками.

Інші Послуги

Готові до безпеки?

зв'язатися з нами