LDAP Enjeksiyonu Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

LDAP sorgularını manipüle ederek sistemden veri çekmek.

Araçlar:

  • Firefox

Adımlar:

  • Arka planda bir veritabanı veya LDAP sunucusuna gitme ihtimali olan girdi noktalarına *, ))))) gibi LDAP sorgusunun anlamını değiştirebilecek veya sorguyu bozabilecek değerler girerek sonuçlar gözlenir.
  • Aşağıdaki gibi payloadlar denenerek uygulama tarafından planlanmayan veriler çekilmeye çalışılır. Elde edilen bilgiler ışığında istismar şekillendirilir.
)(cn=*
*))%00

Kaynak:[değiştir]

  • The Web Application Hacker's Handbook 2th