LDAP Injection

A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Erros de injeção de LDAP ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.

Nesse caso, o Fortify Static Code Analyzer não conseguiu determinar se a fonte dos dados é confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido de uma solicitação HTTP e, portanto, não é confiável.

...
DirectorySearcher src =
           new DirectorySearcher("(manager=" + managerName.Text + ")");
src.SearchRoot = de;
src.SearchScope = SearchScope.Subtree;

foreach(SearchResult res in src.FindAll()) {
  ...
}

Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:

(manager=Smith, John)

No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se managerName não contiver metacaracteres LDAP. Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para managerName, a consulta se tornará a seguinte:

(manager=Hacker, Wiley)(|(objectclass=*))

Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários. A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.

A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Erros de injeção de LDAP ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido a partir de um soquete de rede e, portanto, não é confiável.

fgets(manager, sizeof(manager), socket);

snprintf(filter, sizeof(filter, "(manager=%s)", manager);

if ( ( rc = ldap_search_ext_s( ld, FIND_DN, LDAP_SCOPE_BASE,
       filter, NULL, 0, NULL, NULL, LDAP_NO_LIMIT,
       LDAP_NO_LIMIT, &result ) ) == LDAP_SUCCESS ) {
  ...
}

Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:

(manager=Smith, John)

No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se manager não contiver metacaracteres LDAP. Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para manager, a consulta se tornará a seguinte:

(manager=Hacker, Wiley)(|(objectclass=*))

Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários. A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.

A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Erros de injeção de LDAP ocorrem quando:
1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido de uma solicitação HTTP e, portanto, não é confiável.

...
$managerName = $_POST["managerName"]];

//retrieve all of the employees who report to a manager

$filter = "(manager=" . $managerName . ")";

$result = ldap_search($ds, "ou=People,dc=example,dc=com", $filter);
...

Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:

(manager=Smith, John)

No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se managerName não contiver metacaracteres LDAP.Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para managerName, a consulta se tornará a seguinte:

(manager=Hacker, Wiley)(|(objectclass=*))

Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários.A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.