V5.3.7 Output Encoding and Injection Prevention

Requirement:

Verify that the application protects against LDAP injection vulnerabilities, or that specific security controls to prevent LDAP injection have been implemented. (C4)

Explanation:

LDAP-инъекция — это тип уязвимости, который возникает, когда ненадежные данные используются в запросе LDAP без надлежащей проверки или кодирования. Это может позволить злоумышленнику внедрить вредоносный код в запрос, что приведет к несанкционированному доступу к конфиденциальной информации или манипулированию данными. Чтобы убедиться, что приложение защищает от уязвимостей LDAP-инъекций, вам необходимо проверить, правильно ли филтрован и проверен пользовательский ввод, прежде чем использовать его в запросе LDAP. Это может включать проверку специальных символов или последовательностей символов и экранирование пользовательского ввода, чтобы убедиться, что он не содержит вредоносного кода. Кроме того, важно по возможности использовать параметризованные запросы, чтобы гарантировать, что пользовательский ввод обрабатывается как буквальное значение, а не выполняется как код. Если параметризованные запросы недоступны, следует использовать зависящее от контекста экранрование выходных данных для защиты от атак путем внедрения. Таким образом, чтобы убедиться, что приложение защищает от LDAP-инъекций, вы должны проверить, правильно ли санитизирован и проверен пользовательский ввод перед использованием в запросе LDAP, и использует ли приложение параметризованные запросы или контекстно-зависимое кодирование вывода для предотвращения атак внедрения. 

Remediation:

Чтобы устранить уязвимости LDAP-инъекций, выполните следующие действия:

• Проверка ввода пользователя: проверка ввода должна выполняться, чтобы гарантировать, что данные, предоставленные пользователем, имеют правильный формат и находятся в ожидаемых пределах. Это помогает предотвратить внедрение злоумышленниками вредоносных данных в приложение.
• Филтрация пользовательского ввода: пользовательский ввод должен быть должным образом отфильтрован перед использованием в запросе LDAP. Это может включать удаление или кодирование специальных символов, таких как угловые скобки и обратная косая черта, которые имеют особое значение в LDAP.
• Используйте параметризованные запросы: По возможности используйте параметризованные запросы, чтобы гарантировать, что пользовательский ввод обрабатывается как буквальное значение, а не выполняется как код.

Вот пример того, как использовать параметризованные запросы в PHP для предотвращения LDAP-инъекций:

Использование параметризированных запросов

$ldap = ldap_connect("ldap.example.com");

$username = $_POST['username'];

$password = $_POST['password'];

// Use a parameterized query to bind to the LDAP server

$bind = ldap_bind($ldap, "cn=$username,ou=users,dc=example,dc=com", $password);

if ($bind) {

// LDAP bind successful

} else {

// LDAP bind failed

}

В этом примере введенные пользователем имя пользователя и пароль используются в параметризованном запросе для привязки к серверу LDAP. Это гарантирует, что пользовательский ввод обрабатывается как буквальное значение, а не выполняется как код, защищая от атак внедрения LDAP.

Additional: