【缺陷周话】第19期：LDAP 注入 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

【缺陷周话】第19期：LDAP 注入

2019-01-21 20:57:37

代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，因此一直以来都是学术界和产业界研究的热点，并且已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

360代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、LDAP 注入

LDAP (Light Directory Access Portocol) 是基于X.500标准的轻量级目录访问协议，提供访问目录数据库方法的服务和协议，常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它呈树状结构组织数据，类似于Linux/Unix系统中的文件目录。公用证书、安全密钥、公司的物理设备信息等修改并不频繁的数据适合存储在目录中。可以将LDAP理解为一种搜索协议，它类似于SQL，拥有查询语法，也存在被注入攻击的风险。LDAP注入是指客户端发送查询请求时，输入的字符串中含有一些特殊字符，导致修改了LDAP本来的查询结构，从而使得可以访问更多的未授权数据的一种攻击方式。

本篇文章以 JAVA 语言源代码为例，分析CWE ID 90：Improper Neutralization of Special Elementsused in an LDAP Query ('LDAP Injection')样本中LDAP注入漏洞产生的原因以及修复方法。详细请参见：

CWE ID 90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')
http://cwe.mitre.org/data/definitions/90.html
CWE ID 639：Authorization Bypass ThroughUser-Controlled Key
http://cwe.mitre.org/data/definitions/639.html

2. LDAP 注入的危害

LDAP 注入是利用用户引入的参数生成恶意 LDAP 查询，通过构造 LDAP 过滤器来绕过访问控制、用户权限提升。在维持正常过滤器的情况下构造出 AND、OR 操作注入来获得敏感信息。

从2018年1月至2019年1月，CVE中共有4条漏洞信息与其相关。部分漏洞如下：

CVE 编号	概述
CVE-2018-12689	phpLDAPadmin 1.2.2 允许通过 cmd.php？cmd = loginform 请求中精心设计的 serverid 参数或登录面板中精心设计的用户名和密码进行 LDAP 注入。
CVE-2018-5730	MIT krb5 1.6 或更高版本允许经过身份验证的 kadmin 将主体添加到 LDAP Kerberos 数据库，以通过提供 “linkdn” 和 “containerdn” 数据库参数来绕过DN容器检查，或者通过提供作为扩展的DN字符串来绕过 DN 容器检查。
CVE-2016-8750	4.0.8 之前的 Apache Karaf 使用 LDAPLoginModule 通过 LDAP 对用户进行身份验证。但是没有正确编码用户名，因此容易受到 LDAP 注入攻击，导致拒绝服务。
CVE-2011-4069	PacketFence 3.0.2 之前的 html / admin / login.php 允许远程攻击者进行 LDAP 注入攻击，从而通过精心设计的用户名绕过身份验证。

3、示例代码

示例源于 Samate Juliet Test Suite for Java v1.3 (https://samate.nist.gov/SARD/testsuite.php)，源文件名：CWE90_LDAP_Injection__connect_tcp_01.java。

3.1缺陷代码

缺陷代码1.png 缺陷代码2.png

上述示例代码 39-61 行，程序进行 TCP 连接并读取Socket的数据并赋值给变量 data，在118 行动态构造一个 LDAP 查询语句，119 行对其加以执行。LDAP 为人员组织机构封装了常见的对象类，比如人员（person）含有姓（sn）、名（cn）、电话(telephoneNumber)、密码 (userPassword) 等属性。该查询为了验证是否存在名为变量 data 的员工,但并未对变量 data 的内容做任何过滤。使用最简单的注入方式，令传入参数的值为“*”，则构造的动态查询条件为 "(cn=*)”，这样可以查询到所有员工的信息，导致信息泄露。

使用360代码卫士对上述示例代码进行检测，可以检出“LDAP 注入”缺陷，显示等级为高。从跟踪路径中可以分析出数据的污染源以及数据流向，在代码行第120行报出缺陷，如图1所示：

检出缺陷.png

图1：LDAP 注入的检测示例

3.2 修复代码

修复代码.png

在上述修复代码中，第119行使用 javax.naming.ldap 包下扩展类 BaseControl 接收需要被处理的参数，第120行 control 对象调用 getEncodedValue() 方法将接收的参数 data 进行编码，编码后的值为字符对应的 ASN.1BER 编码值。编码后的字节数组不存在参与命令解析的特殊字符，可以构造结构、内容正常的 LDAP 查询语句，这样就避免了 LDAP 注入的发生。

使用360代码卫士对修复后的代码进行检测，可以看到已不存在“LDAP注入”缺陷。如图2：

修复检测.png

图2：修复后检测结果

4 、如何避免 LDAP 注入

LDAP注入产生的根本原因是攻击者提供了可以改变LDAP查询含义的 LDAP元字符。构造LDAP筛选器时，程序员应清楚哪些字符应作为命令解析，而哪些字符应作为数据解析。为了防止攻击者侵犯程序员的各种预设情况，应使用白名单的方法，确保LDAP查询中由用户控制的数值完全来自于预定的字符集合，应不包含任何LDAP元字符。如果由用户控制的数值范围要求必须包含 LDAP元字符，则应使用相应的编码机制转义这些元字符在LDAP查询中的意义。

如&、！、|、=、<、>、，、+、-、”、’、；这些字符正常情况下不会用到，如果用户的输入中出现了，需要用反斜杠转义处理。
还有些字符如(、)、\、*、/、NUL这些字符不仅需要用反斜杠处理，还要将字符变成相应的ASCII码值。

关联阅读
【缺陷周话】第18 期 XPath 注入
【缺陷周话】第17 期：有符号整数溢出
【缺陷周话】第 16 期 — 资源未释放：流
【缺陷周话】第 15 期 — 资源未释放：文件
【缺陷周话】第 14 期：HTTP 响应截断
【缺陷周话】第 13期：二次释放
【缺陷周话】第 12期：存储型 XSS
【缺陷周话】第 11期：释放后使用
【缺陷周话】第 10 期：反射型 XSS
【缺陷周话】第 9 期：缓冲区下溢
【缺陷周话】第 8 期：路径遍历
【缺陷周话】第 7 期：缓冲区上溢
【缺陷周话】第 6 期：命令注入
【缺陷周话】第5期：越界访问
【缺陷周话】第4期：XML 外部实体注入
【缺陷周话】第3期：内存泄漏
【缺陷周话】第 2 期：SQL 注入
【缺陷周话】第1期：空指针解引用

扫一扫，发现更多安全干货~

# 代码审计 # 安全缺陷分析

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多