LDAP Injection
Como Explorar
LDAP Injection permite que um atacante manipule consultas LDAP, podendo acessar, modificar ou vazar dados do diretório.
terminal
Exemplo:
login=*)(&)
- Insira caracteres especiais em campos de login ou busca.
- Observe respostas inesperadas ou vazamento de dados.
Por que acontece
Ocorre quando dados do usuário são inseridos em consultas LDAP sem validação ou escape, permitindo manipulação da query.
- Concatenação direta de dados do usuário em queries LDAP.
- Falta de escape/sanitização de caracteres especiais.
Como Corrigir
- Escape caracteres especiais em queries LDAP.
- Valide e sanitize todos os inputs do usuário.
terminal
// Exemplo seguro em Node.js
const safe = userInput.replace(/([*()\])/g, '\$1');