基本搜索查询是否可以进行LDAP注入?

问题描述 投票:0回答:1

我正在尝试通过绕过使用LDAP的登录来保护登录端点的安全。

[它使用"cn=" + username + ", dc=example, dc=com"的搜索查询并使用"(objectClass=*)"的过滤器。

这里是否可以使用用户名进行LDAP注入攻击?显然,我最终将摆脱所有查询和过滤器。

authentication ldap code-injection
1个回答
0
投票
如果将用户输入注入搜索过滤器中,则最终用户

可以更改查询,但是由于查询只能

read个值,因此仍然无济于事。 (尽管您仍然可以通过用()转义\28\29来防止这种情况的发生)

LDAP查询与SQL不同,在SQL中,注入攻击可以结束SELECT语句并开始另一个语句。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.