사이버 보안: LDAP 인젝션이란?

정의

LDAP(Lightweight Directory Access Protocol) 인젝션은 사용자로부터 입력된 데이터가 적절하게 검증되거나 정리되지 않은 채로 LDAP 쿼리에 사용될 때 발생하는 보안 취약점입니다. 이는 LDAP 디렉터리에서의 무단 접근이나 데이터 조작을 초래할 수 있습니다.

취약점 발생 지점 리스트

• 사용자 입력이 되어 인증하는 모든 곳
• 로그인 아이디, 비밀번호

취약점 검증 방법

• 사용자 입력 값에 변조된 LDAP 쿼리 삽입 후 실행되는지 확인

USERNAME>(&)

LDAP 인젝션 치트시트

LDAP(Lightweight Directory Access Protocol)

LDAP은 네트워크 디렉토리 서비스를 구현하기 위한 프로토콜로, 사용자, 그룹, 기기 등과 같은 디렉토리 정보를 저장하고 조회하는 데 사용됩니다.

LDAP(Lightweight Directory Access Protocol)이란

네트워크 디렉토리 서비스

네트워크 디렉토리 서비스는 컴퓨터 네트워크에서 사용자, 리소스, 서비스 등의 정보를 중앙 집중식으로 관리하기 위한 시스템입니다. 주요 목적은 사용자 식별, 인증, 권한 관리, 리소스 검색 및 접근 등을 효율적으로 수행하는 것입니다.

LDAP, LDAP 서버, WAS, 디비 구조

공격법

공격 시나리오

1. 공격자는 악의적인 LDAP 쿼리를 조작하여 취약한 애플리케이션으로 전달합니다.
2. 애플리케이션은 사용자 입력을 적절하게 검증하지 않고 LDAP 쿼리에 사용합니다.
3. 조작된 LDAP 쿼리가 실행되어 LDAP 디렉터리에 접근하거나 데이터를 조작하는 결과를 초래합니다.

발생 과정

세부 과정 설명

1. 공격자는 악의적인 입력을 제공하여 애플리케이션에 전달합니다.
2. 애플리케이션은 사용자 입력을 적절하게 검증하지 않고 LDAP 쿼리를 실행합니다.
3. 취약한 LDAP 쿼리가 LDAP 서버로 전달되어 실행됩니다.
4. LDAP 서버는 쿼리를 처리하고 결과를 애플리케이션으로 반환합니다.
5. 애플리케이션은 결과를 사용자에게 표시하거나 다른 목적으로 활용합니다.

대응방법

• prepared statement를 사용
• 화이트 리스트기반 필터링 영문(a-z, A-Z)과 숫자(0-9)만을 허용
• LDAP 서버에 대한 접근 권한을 최소화하고, 애플리케이션 계정이 필요한 최소한의 권한만 가지도록 권한 제한
• 웹 방화벽에 LDAP 관련 특수문자를 필터링하도록 룰셋 적용
• 필터링 대상