LDAP或輕型目錄訪問協(xié)議是一種用于讀取目錄，文件或設(shè)備中的數(shù)據(jù)的方法。實(shí)際上，這是目錄訪問服務(wù)，例如，可用于提供有關(guān)嘗試登錄的用戶的信息，而該用戶正作為單點(diǎn)登錄SSO流程的一部分。那么LDAP有哪些注入漏洞？如何防止？

LDAP的常見用途是提供集中式身份驗(yàn)證，因此，它可用于驗(yàn)證用戶以允許訪問任何應(yīng)用程序的受限模塊。LDAP的主要工作是從Active Directory（AD）中提取可用格式的信息，該Active Directory是包含大量神秘?cái)?shù)據(jù)的域控制器。LDAP使用簡單的基于字符串的查詢從AD中提取信息。

LDAP注入是一個(gè)漏洞，其中查詢語句是由不正確清理或驗(yàn)證的不可靠輸入創(chuàng)建的。這使用特殊字符作為輸入?yún)?shù)。這些字符影響可以從AD檢索的對(duì)象的類型和數(shù)量。如果惡意用戶可以提交包含那些特殊字符的輸入，則他們可以更改查詢并更改所需的行為。

提交到服務(wù)器的查詢稱為LDAP搜索過濾器。它們是使用前綴表示法構(gòu)造的。該表示法發(fā)給服務(wù)器，如果未正確清理或驗(yàn)證，則可以更改查詢的含義并返回AD中的所有用戶。諸如“ *”之類的特殊字符也會(huì)創(chuàng)建其他惡意查詢。可以在易受攻擊的服務(wù)器上執(zhí)行許多LDAP注入漏洞。

如何防止LDAP注入：

1.強(qiáng)大的輸入驗(yàn)證；

2.使用編碼轉(zhuǎn)義輸入；

3.嚴(yán)格的目錄授權(quán)。

以上就是關(guān)于LDAP有哪些注入漏洞及如何防止的內(nèi)容介紹，想了解更多關(guān)于LDAP注入漏洞的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)吧。