Увод у ЛДАП ињекцију

Веб апликација би ових дана требала бити много више од платформе која обрађује корисникове упите. У ранијем периоду, веб апликација се односила на место где корисници могу да дођу радити и одјавити се, а кад се одјаве, апликација престаје да ради. Али ових дана веб апликација мора да функционише чак и ако је корисник не користи, што би се могло имплементирати помоћу колачића. Недавно је Фацебоок потврдио да користе колачиће како би проверили активности корисника како би осигурали да се њихов систем не злоупотребљава. Тако да у време када онлајн апликације морају да буду јаче, безбедност апликације води листу захтева. Овдје ћемо се фокусирати на једну врсту цибер напада начин о коме треба водити рачуна како би се осигурала сигурност система.

Шта је ЛДАП убризгавање?

  • ЛДАП је лаган протокол приступа каталогу. Може се дефинисати као протокол који није везан за продавца и који ради на слоју преко ТЦП / ИП стака. Користи се за увођење механизма за провјеру и провјеру аутентичности у веб апликацију како би се осигурала његова сигурност и врло често користила током развоја веб апликација. ЛДАП се користи често у веб апликацијама које се користе преко интернета или интранета. Веома је важно да веб апликација користи ЛДАП јер је то врло чест и важан фактор који омогућава сигуран развој веб апликације.
  • ЛДАП се такође може дефинисати као скуп стандарда који се користе за обављање безбедносних провера како би се открило да ли корисник има сву дозволу за приступ постојећем систему. Постоји неколико начина за извршење чекова, али на крају, мотив свих провјера је осигурање сигурности веб апликације. Забрањује неовлашћени приступ корисницима који немају одговарајуће привилегије. На основу права која корисник има за одређену веб апликацију, осигурава да корисник може имати приступ само оним стварима на које има право. Иако се користи за бригу о сигурности веб апликације, хакери га могу преварити и за извлачење сока из апликације.

Извођење ЛДАП убризгавања са примером

  • Веб апликација мора преузети улаз од корисника да би је даље обрадила. Нападач може искористити то ако вредност коју унесу корисници није исправно санирана и директно пређе у базу података ради извршења. Овде ћемо видети како би се ЛДАП ињекција могла покренути на било којој веб апликацији склоној овом нападу.

IEnter your name

  • Горе наведени упит ће се трансформисати у командну ЛДАП команду тако да апликација олакшава добро извршење упита.

String ldapQueryToSearch= "(sq=" + $userName + ")";
System.out.println(ldapQueryToSearch);

  • У горњем случају, ако вредност коју поднесе корисник није санирана, то може довести до добијања имена свих постојећих корисника стављањем „*“ у поље за унос. Звездица означава све расположиве опције, па када ће база података обрадити звездицу, а не било које одређено корисничко име, биће јој додељени сви објекти сачувани у ЛДАП бази података. Стварни упит који ће се извршити у бази података бит ће

findingLogin="(&(usrid="+username+")(userPwd=(MD5)"+base64(pack("H*", md5(pass)))+"))";

  • Када се подаци не санирају и база података прихвати вредност звездица у процесу, код ће бити на следећи начин.

findingLogin="(&(usrid=*)(usrid=*))(|(usrid=*)(userPwd=(MD5)Xkjr1Hj5LydgyfeuILpxM==))";

Чим ће горњи рањиви код ући у базу података ЛДАП, проћи ће кроз све објекте похрањене у ЛДАП бази података и довести ће до штете веб апликацији. Исход убризгавања ЛДАП ће хакер искористити за злоупотребу система и проузроковати нарушавање безбедности.

Како можете заштитити од напада ЛДАП убризгавања?

  • Ако постоји рањивост у апликацији, мора постојати и њена санација. Једва ће постојати рањивост која се не може решити или поправити ради заштите система. На исти начин, постоји неколико начина који се могу користити за заштиту веб апликације од ЛДАП убризгавања.
  • Први и најважнији начин је очистити унос пре него што га однесете даље на обраду. Унос који корисник поднесе мора бити потврђен ако се подудара са захтевом који одговара ономе што апликација очекује кроз то текстно поље. На пример, ако корисник покуша да пошаље било које посебне знакове у текстуалном пољу које захтева име, тада би га требало упозорити да не може попунити посебан знак у том пољу. То је потврда на страни клијента. Сада ће бити потребна и провера ваљаности на страни сервера да би били сигурни да су подаци који су достављени оригинални.
  • Следећи је конфигурирање ЛДАП-а водећи рачуна о сигурности. ЛДАП конфигурација треба да се врши на начин који ограничава неовлашћене кориснике да уносе било какве злонамерне промене у систем. Такође, следећи је, резултат ЛДАП упита мора бити ограничен и не може открити било које податке који би могли довести до кршења сигурности. Ако подаци неће бити довољни да наштете систему, нападач неће бити у стању утицати на веб апликацију ни на који начин, чак и ако су могли покренути ЛДАП напад ињекције.

Закључак

Лагани протокол приступа каталогу пружа пут апликацији како би се осигурало да је корисник који покушава приступити систему правилно овјерен и овлаштен за кориштење система. Веома је важно узети у обзир ЛДАП истовремено водећи рачуна о свим безбедносним питањима. Систем би требао бити довољно јак да ниједан хакер не би могао покренути ЛДАП напад. Будући да база података ЛДАП садржи веома уносне информације, администратор мора осигурати да се унос од корисника врло пажљиво очисти и да се конфигурација обави имајући на уму све сигурносне факторе.

Препоручени чланци

Ово је водич за ЛДАП убризгавање. Овде смо расправљали о томе шта је ЛДАП убризгавање, њеним примерима и како заштитити ЛДАП ињекцијски напад. Можете и да прођете кроз наше друге сродне чланке да бисте сазнали више -

  1. Шта је СКЛ убризгавање?
  2. Шта је Ларавел?
  3. Сигурносно тестирање
  4. Шта је Јава интерфејс?

Категорија:

Развој софтвера