Access Control: LDAP

Sin un control de acceso adecuado, la ejecución de una instrucción LDAP que contenga un valor controlado por el usuario puede permitir a un atacante acceder a entradas de directorio no autorizadas.

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se utilizan para especificar un valor de datos en una consulta LDAP.
Ejemplo 1: el ID de empleado del usuario actualmente autenticado se envía de forma automática con cada solicitud mediante la interfaz de cliente. El código siguiente valida adecuadamente el nombre de empleado mediante una lista de permitidos antes de utilizarlo para crear una consulta LDAP. Esta validación impide la aparición de vulnerabilidades LDAP Injection, pero podría seguir dejando al código vulnerable.

static string AllowlistVerify(string name) {
    Regex pattern = new Regex(@"^[a-zA-Z\-\.']+$");
    if (pattern.IsMatch(name)) {
        return name;
    }
    return null;
}

...
string verifiedName = AllowlistVerify(managerName.Text.trim());
if(verifiedName != null) {
    DirectorySearcher src = new DirectorySearcher("(manager=" + verifiedName + ")");
    src.SearchRoot = de;
    src.SearchScope = SearchScope.Subtree;

    foreach(SearchResult res in src.FindAll()) {
        ...
    }
}

El problema es que el desarrollador no ha tenido en cuenta qué pasaría si un atacante proporciona valores alternativos de empName. Aunque la interfaz envíe automáticamente el ID de empleado al usuario actual, un atacante podría enviar un valor alternativo como parte de una solicitud maliciosa. Como el código de este ejemplo ejecuta la consulta bajo un vínculo anónimo, devolverá la entrada de directorio para un ID de empleado válido, independientemente de la identidad del usuario autenticado actualmente.

Sin un control de acceso adecuado, la ejecución de una instrucción LDAP que contenga un valor controlado por el usuario puede permitir a un atacante acceder a entradas de directorio no autorizadas.

Se producen errores de control de acceso de base de datos cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se utilizan para especificar un valor de datos en una consulta LDAP.
Ejemplo 1: el código siguiente usa una lista de permitidos para validar el nombre de un empleado leído desde un socket antes de usarlo para construir una consulta LDAP. Esta validación impide la aparición de vulnerabilidades LDAP Injection, pero podría seguir dejando al código vulnerable.

char* allowlist_verify(char* name) {
    const char *error;
    int errOffset;
    char* regex = "^[a-zA-Z\\-\\.']+$";
    pcre* re = pcre_compile(regex, 0, &err, &errOffset, NULL);
    int rc = pcre_exec(re, NULL, name, strlen(name), 0, 0, NULL, 0);
    if (rc == 1)
        return name;
    return NULL;
}
...
fgets(managerName, sizeof(managerName), socket);
char* verified_name = allowlist_verify(managerName);
if(verified_name != NULL) {
    snprintf(filter, sizeof(filter), "(manager=%s)", verified_name);
    if ( ( rc = ldap_search_ext_s( ld, FIND_DN, LDAP_SCOPE_BASE,
            filter, NULL, 0, NULL, NULL, LDAP_NO_LIMIT,
            LDAP_NO_LIMIT, &result ) ) == LDAP_SUCCESS ) {
    ...
    }
}

El problema es que el desarrollador no ha tenido en cuenta qué pasaría si un atacante proporciona valores alternativos de username. Como el código de este ejemplo ejecuta la consulta bajo un vínculo anónimo, devolverá la entrada de directorio para un ID de empleado válido, independientemente de la identidad del usuario autenticado actualmente.