एलडीएपी इंजेक्शन

Question

के खिलाफ सुरक्षा कैसे करें हम एक ऐसे अनुप्रयोग का निर्माण कर रहे हैं जो एलडीएपी का उपयोग php के माध्यम से करता है और मुझे लगता है कि आप एलडीएपी में इंजेक्शन के साथ कुछ भी कर सकते हैं और बेहतर है कि एलडीएपी इंजेक्शन के खिलाफ कोई सुरक्षा कैसे करता है?

Answer 1

जब LDAP फिल्टर का निर्माण आपके द्वारा फ़िल्टर मूल्यों RFC2254 के अनुसार नियंत्रित किया जाता है यह सुनिश्चित करना चाहिए:

LDAP फिल्टर में एक ACII कोड < 32 के साथ ही पात्रों विशेष अर्थ के साथ साथ किसी भी नियंत्रण वर्ण " * "," (",") ", और" \ "(बैकस्लैश) को बैकस्लैश के के प्रतिनिधित्व में परिवर्तित किया गया है, इसके बाद दो हेक्स वर्ण हेक्साडेसिमल वर्ण के मान का प्रतिनिधित्व करते हैं।

उदाहरण के लिए Zend_Ldap निम्नलिखित दिनचर्या

//[...] 
$val = str_replace(array('\\', '*', '(', ')'), array('\5c', '\2a', '\28', '\29'), $val); 
for ($i = 0; $i<strlen($val); $i++) { 
    $char = substr($val, $i, 1); 
    if (ord($char)<32) { 
     $hex = dechex(ord($char)); 
     if (strlen($hex) == 1) $hex = '0' . $hex; 
     $val = str_replace($char, '\\' . $hex, $val); 
    } 
} 
//[...] 

Answer 2

ज्यादातर मामलों में यह एलडीएपी के लिए केवल पढ़ने के लिए खाते का उपयोग कर रहा है। चूंकि एलडीएपी लिखने पर खराब है, अपडेट केवल आवेदन के बहुत छोटे वर्गों में होते हैं जहां एक और खाता इस्तेमाल किया जा सकता है।

तब भी क्वेरी भाषा और अद्यतन भाषा पूरी तरह से अलग हो जाती है।

अवांछित जानकारी प्रदर्शित करने से बचाने के लिए सभी उपयोगकर्ता इनपुट को दंडित करें और सुनिश्चित करें कि रंगा हुआ डेटा का उपयोग कभी भी पार्स, साफ और ठीक से बचने और साफ चर में कॉपी करने से पहले कभी नहीं किया जाता है।

इसी प्रकार आप केवल उस डेटा को चुनने पर विचार कर सकते हैं जिसे आप प्रतिक्रिया से उम्मीद करते हैं और इसे प्रदर्शित करने के लिए वापस कर सकते हैं।

Answer 3

विचार करने के लिए एक आइटम यह है कि एक एलडीएपी उपयोगकर्ता नाम (डीएन) के साथ बाध्य है लेकिन कोई पासवर्ड अज्ञात बंधन नहीं माना जाता है। इसलिए यदि आप रिक्त पासवर्ड पास करते हैं, तो उपयोगकर्ता को सत्यापित करने के लिए पास किए गए प्रमाण-पत्र एलडीएपी के माध्यम से बाध्य कर सकते हैं, और आपने इसे पारित किया है, तो आप किसी को गलत तरीके से दे सकते हैं।

Answer 4

function ldap_quote($str) { 
    return str_replace(
      array('\\', ' ', '*', '(', ')'), 
      array('\\5c', '\\20', '\\2a', '\\28', '\\29'), 
      $str 
    ); 
} 

Answer 5

PHP में उपयोग करता है 5.6+ आप फिल्टर मूल्यों और RDNs के लिए ldap_escape फ़ंक्शन का उपयोग किया जाना चाहिए। जैसे:

// Escaping an LDAP filter for ldap_search ... 
$username = ldap_escape($username, null, LDAP_ESCAPE_FILTER); 
$filter = "(sAMAccountName=$username)"; 

// Escaping a DN to be used in an ldap_add, or a rename... 
$rdn = ldap_escape('Smith, John', null, LDAP_ESCAPE_DN); 
$dn = "cn=$rdn,dc=example,dc=local"; 

साथ ही, आप खोजों में विशेषता नाम के लिए उपयोगकर्ता इनपुट स्वीकार कर रहे हैं यदि आप मान्य किया जाना चाहिए कि यह एक स्वीकार्य OID है या विशेषता नाम। आप क्या कर सकते हैं कि इस तरह एक समारोह के साथ:

/** 
* Validate an attribute is an OID or a valid string attribute name. 
* 
* @param string 
* @return bool 
*/ 
function isValidAttributeFormat($value) 
{ 
    $matchOid = '/^[0-9]+(\.[0-9]+?)*?$/'; 
    $matchDescriptor = '/^\pL([\pL\pN-]+)?$/iu'; 

    return preg_match($matchOid, $value) 
     || preg_match($matchDescriptor, $value); 
} 

$attribute = 'sAMAccountName'; 
$value = 'foo'; 

if (!isValidAttributeFormat($attribute)) { 
    throw new \InvalidArgumentException(sprintf('Invalid attribute name: %s', $attribute)); 
} 

$value = ldap_escape($value, null, LDAP_ESCAPE_FILTER); 
$filter = "($attribute=$value)";