LDAP injekce

LDAP injekce je typ útoku na adresářové služby, který útočníkům umožňuje obejít přihlášení nebo získat citlivá data.

 

 

Co je to LDAP injekce?

LDAP injekce (LDAP Injection) je typ kybernetického útoku, při kterém útočník vloží škodlivý vstup do požadavku směrovaného na LDAP server (adresářovou službu). Cílem je obejít ověření, získat neoprávněný přístup k informacím nebo manipulovat s daty uloženými v adresářovém systému. LDAP injekce využívá podobné principy jako SQL injekce, ale zaměřuje se na dotazy v rámci adresářových struktur.

 

Kde a jak se LDAP injekce projevuje v praxi

Příklady typických situací:

  • Aplikace umožní přihlášení uživatele bez ověření hesla pomocí upraveného vstupu (např. *)(|(uid=*))).
  • Útočník získá seznam všech uživatelů ve firmě pomocí zneužití vyhledávacího formuláře.
  • Formulář na webu neověřuje vstupní data a umožní útočníkovi manipulovat s LDAP dotazem.
  • Interní aplikace načítá uživatelské role ze zranitelného LDAP dotazu – útočník získá práva administrátora.
  • Bezpečnostní mezera umožní smazat nebo upravit položky v adresářové službě.

 

Vysvětlení:
Všechny uvedené situace mají jedno společné – aplikace bez dostatečné kontroly vstupních dat umožní vložení škodlivého řetězce, který změní logiku LDAP dotazu. Výsledkem je přístup k informacím, které by jinak měly být chráněné.

 

Jaký je rozdíl mezi LDAP injekcí a podobnými útoky?

  • LDAP injekce: zaměřuje se na LDAP dotazy (adresářové systémy).
  • SQL injekce: cílí na databázové dotazy.
  • Command Injection: umožňuje spustit systémové příkazy.

 

Proč na tom záleží:
Ačkoli mají podobnou logiku (zneužití nedostatečně kontrolovaného vstupu), typ útoku určuje, jaký systém je v ohrožení. LDAP injekce ohrožuje především přístupové systémy a adresářové služby – tedy to, co řídí, kdo a kam má přístup. Úspěšný útok může vést k úplnému narušení identity managementu ve firmě.

 

Jak LDAP injekci zavčas odhalit a předcházet jí ve firmě

Kroky pro prevenci a zavedení kontroly:

  1. Validujte všechny vstupy – nikdy nedůvěřujte vstupu od uživatele.
  2. Používejte bezpečné knihovny – oddělujte vstupní data od logiky dotazů.
  3. Implementujte pravidla firewallu (WAF) – filtrujte podezřelé požadavky.
  4. Pravidelně testujte aplikace – pomocí penetračních testů nebo SAST nástrojů.
  5. Školte vývojáře i IT administrátory – pochopení rizika je klíčové.
  6. Zaveďte monitoring – podezřelá aktivita může upozornit na probíhající útok.

 

Doplňující poznámka:
Firmy často věnují pozornost databázovým útokům (např. SQL injekcím), ale adresářové služby bývají opomíjené. Přitom právě tyto systémy spravují citlivé přístupy a identity – jejich kompromitace může mít závažné důsledky. Prevence je přitom levnější než řešení následků.

zpět do slovníku