[보안 해킹] 홈페이지 개발 보안 - LDAP 인젝션
■ 취약점 설명
- 외부 입력 값에 대해 특수문자(=, +, <, >, #, ;, / 등)를 필터링 하지 않으면 공격자에 의해 LDAP 명령어가 실행되는 취약점
■ 보안대책
⑴ DN과 필터에 사용되는 사용자 입력 값에는 특수문자가 포함되지 않도록 특수문자 제거
⑵ 특수문자를 사용해야 하는 경우 특수문자(DN에 사용되는 특수문자는 "/", 필터에 사용되는 특수문자(=, +, <, >, #, ;, \ 등)에 대해서는 실행명령이 아닌 일반문자로 인식되도록 처리
■ 코드예제
- name 변수의 값으로 "*"을 전달할 경우 필터 문자열은 "(name=*)"가 되어 항상 참이 되며 이는 의도하지 않은 동작을 유발시킬 수 있는 코딩
- 검색 시 사용되는 필터 문자열(외부 입력 값)에 특수문자가 포함되어 있을 경우 공격 및 악의적인 목적으로 활용 가능하기 때문에 특수문자와 같은 위험한 문자열을 제거하도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - URL/파라미터 변조 (0) | 2016.10.27 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - HTTP 응답분할 (0) | 2016.10.26 |
| [보안 해킹] 홈페이지 개발 보안 - 버퍼 오버플로우 (0) | 2016.10.25 |
| [보안 해킹] 홈페이지 개발 보안 - 파일 다운로드 (0) | 2016.10.24 |
| [보안 해킹] 홈페이지 개발 보안 - 파일 업로드 (0) | 2016.10.24 |
