Web취약점 진단 - LDAP 인젝션

1. LDAP 인젝션(LI)

 

2. 취약점 개요

 

LDAP 인젝션은 웹 애플리케이션이 사용자 입력을 검사·정리하지 않은 채로 LDAP 조회에 사용함으로써 발생하며, 이를 통해 공격자는 특수하게 조작된 입력을 보내 LDAP 쿼리의 동작을 바꿔서 로그인 우회, 사용자·그룹 정보 조회, 권한 상승 등 악의적인 행위를 수행할 수 있으므로 주의 필요함

 

3. 점검 결과

1) 사용자 입력 값에 변조된 LDAP 쿼리 삽입 후 실행되는지 확인

※ 결과를 보면 단순 인증 실패 메시지가 나왔지만, 입력값 검증 부재로  LDAP 쿼리 구조 변조가 가능한 것으로 보여 취약할 가능성이 보인다. 

 

4. 권고사항 

1) 사용자 입력 값은 화이트 리스트(White List) 방식으로 지정하여, 영문(a-z, A-Z)과 숫자(0-9)만을 허용하도록 입력 검증 로직을 구현해야 함

2) DN(Distinguished Name) 및 필터에 사용되는 사용자 입력 값에는 특수문자가 포함되지 않도록 특수문자를 제거해야 함

3) 특수문자를 반드시 사용해야 하는 경우, DN에 사용되는 특수문자('\') 및 필터에 사용되는 특수문자('=, +, <, >, #, ;, \' 등)에 대해 실행 명령이 아닌 일반 문자로 인식되도록 이스케이프(Escape) 처리를 적용해야 함

4) 웹 방화벽(WAF)에 LDAP 관련 특수문자 및 공격 패턴을 필터링하도록 룰셋을 적용하여, 애플리케이션 방어선을 강화해야 함