 描述
攻击者操纵或工艺品LDAP查询的目的是破坏的安全目标。一些应用程序使用用户输入创建LDAP查询处理LDAP服务器。例如,一个用户可能提供他们的用户名在身份验证和用户名可能是插入在LDAP身份验证过程中查询。攻击者可以利用这个输入LDAP注入额外的命令查询可能透露敏感信息。例如,输入*在上述查询可能返回系统上的所有用户信息。这种攻击非常类似于SQL注入攻击,它操纵查询收集额外信息或强迫一个特定的返回值。
攻击的可能性
典型的严重性
执行流程
探索
问卷调查应用程序:攻击者需要库存的应用程序的入口点。
| 技术 |
| 蜘蛛网站所有可用的链接 |
| 嗅探网络通信与应用程序使用WireShark等效用。 |
实验
确定用户可控输入容易LDAP注入:为每个用户可控输入LDAP注入攻击者怀疑是脆弱的,试图注入在LDAP中具有特殊意义的字符(比如单引号字符等)。我们的目标是创建一个LDAP查询与无效的语法
| 技术 |
| 使用web浏览器将输入文本字段或通过HTTP GET参数 |
| 使用一个web应用程序调试工具如篡改数据,TamperIE, WebScarab,等等。修改HTTP POST参数,隐藏字段,non-freeform字段,或其他HTTP头。 |
| 使用修改客户端(由逆向工程修改)注入输入。 |
设法利用LDAP注入漏洞:在确定一个给定的输入LDAP注入是脆弱的,假设底层查询是什么样子。可能使用一个工具,反复尝试添加逻辑从LDAP查询来提取信息,在LDAP或修改或删除信息。
| 技术 |
| 逻辑添加到LDAP查询改变命令的意思。自动化工具可以用来生成LDAP注入字符串。 |
| 使用一个web应用程序调试工具如篡改数据,TamperIE, WebScarab,等等。修改HTTP POST参数,隐藏字段,non-freeform字段,或其他HTTP头。 |
先决条件
| 目标应用程序必须接受一个字符串作为用户输入,无法清洁人物有特殊意义的LDAP查询的用户输入,并插入用户提供的字符串在LDAP查询处理。 |
技能要求
|
(级别:中等) LDAP的攻击者需要有知识,尤其是它的查询语法。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
可用性 |
不可靠的执行 |
|
|
完整性 |
修改数据 |
|
|
保密 |
读取数据 |
|
|
授权 |
执行未经授权的命令 |
|
|
问责制
身份验证
授权
不可抵赖性 |
获得特权 |
|
|
访问控制
授权 |
旁路保护机制 |
|
缓解措施
| 强大的输入验证,所有用户可控的输入必须验证和过滤非法字符以及LDAP的内容。 |
| 使用自定义的错误页面,攻击者可以收集信息的本质从描述性查询错误消息。输入验证必须加上自定义的错误页面,通知一个错误没有透露关于LDAP或应用程序的信息。 |
例子,实例
| PowerDNS 2.9.18之前,与LDAP后台运行时,不正确逃脱LDAP查询,它允许远程攻击者造成拒绝服务(未能回答LDAP的问题)和可能进行LDAP注入攻击。参见:cve - 2005 - 2301 |
分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attacker_Skills_or_Knowledge_Required |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新后的后果 |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Taxonomy_Mappings |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
