当前位置: 首页 > 工具软件 > web2ldap > 使用案例 >

web渗透--30--LDAP注入

谭学名
2023-12-01

1、LDAP概述

轻量目录访问协议(LDAP)是被用来存储有关用户,主机和其他许多对象的信息。LDAP注入是一个服务器端的攻击,它允许关于用户和表示主机的敏感信息在一个LDAP结构中被披露、篡改或插入其他信息。这是通过操纵输入参数,再传递给内部的搜索、增加、修改函数来实现的。

一个Web应用程序可以使用LDAP,以便允许用户在企业架构中实现用户认证或搜索其他用户的信息。LDAP注入攻击的目标是在一个查询中注入LDAP搜索过滤元字符,以被应用执行。

LDAP搜索过滤器中的元字符:

元字符 含义
&
|
!
= 等于
~= 约等于
>= 大于
<= 小于
* 任意字符
() 分组括号

 类似资料: