[보안 해킹] 홈페이지 개발 보안 - LDAP 인젝션 ■ 취약점 설명 - 외부 입력 값에 대해 특수문자(=, +, , #, ;, / 등)를 필터링 하지 않으면 공격자에 의해 LDAP 명령어가 실행되는 취약점 ■ 보안대책 ⑴ DN과 필터에 사용되는 사용자 입력 값에는 특수문자가 포함되지 않도록 특수문자 제거 ⑵ 특수문자를 사용해야 하는 경우 특수문자(DN에 사용되는 특수문자는 "/", 필터에 사용되는 특수문자(=, +, , #, ;, \ 등)에 대해서는 실행명령이 아닌 일반문자로 인식되도록 처리 ■ 코드예제 - name 변수의 값으로 "*"을 전달할 경우 필터 문자열은 "(name=*)"가 되어 항상 참이 되며 이는 의도하지 않은 동작을 유발시킬 수 있는 코딩 - 검색 시 사용되는 필터 문자열(외부 입력 ..