[Owasp-turkey] Yan: Arızayı Bul #3

ihsan varol ivarol at yahoo.com
Fri Oct 16 15:36:12 EDT 2009


Merhaba,
Bir LDAP injection tehlikesi gördüm sanki... ;)
 
Riskler : 
TextBox'a asterisk karakteri girildiğinde tüm username'leri döndürecektir.
'(','|','&' gibi karakterleri kullanarak farklı eğlenceler de denenebilir.
 
Önlemek için regular expression kontrolü yapılabilir. Mesela :
String userName = Regex.IsMatch(Request.Querystring(“aUserName”),"^[A-Za-z]{16}$");
 
İyi çalışmalar.
 
Ihsan Varol
Logo Business Solutions
 


--- 16/10/09 Cum tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> şöyle yazıyor:


Kimden: Bedirhan Urgun <bedirhanurgun at gmail.com>
Konu: [Owasp-turkey] Arızayı Bul #3
Kime: "OWASP-Türkiye" <owasp-turkey at lists.owasp.org>
Tarihi: 16 Ekim 2009 Cuma, 19:21



 
Merhaba,
java ve javascript'ten sonra bir c# arizayi bul ornegi. Yazdigim bir thick client uygulamasindan... :(
 
bedirhan
 
 
Arizayi Bul#3
-------------------
 
        private void button1_Click(object sender, EventArgs e)
        {
            Requester requester = GetRequester(textBox2.Text);
            textBox1.Text += requester.ToString();
            textBox2.Text = requester.Manager;
        }
        
        
        private Requester GetRequester(string aUserName)
        {
            Requester requester = null;
            // get our user
            DirectoryEntry ldapUser = GetLDAPUser(aUserName);
            if (ldapUser == null)
                return requester;
        ...
        
        }
        
        private DirectoryEntry GetLDAPUser(string UserName)
        {
            DirectoryEntry de = GetDirectoryEntry();
            DirectorySearcher deSearch = new DirectorySearcher();
            deSearch.SearchRoot = de;
            deSearch.Filter = "(&(objectClass=user)(sAMAccountName=" + UserName + "))";
            deSearch.SearchScope = SearchScope.Subtree;
            SearchResult results = deSearch.FindOne();
            if (results != null)
                return GetDirectoryEntry(results.Path);
            else
                return null;
        }

-----Satır İçi Eki Var-----


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey



      ___________________________________________________________________
Yahoo! Türkiye açıldı!  http://yahoo.com.tr
İnternet üzerindeki en iyi içeriği Yahoo! Türkiye sizlere sunuyor!
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091016/e4ddcd0d/attachment.html 


More information about the Owasp-turkey mailing list