[Owasp-turkey] boş username/boş password - php ldap_bind

Bedirhan Urgun bedirhanurgun at gmail.com
Wed Oct 5 06:23:08 EDT 2011


Merhaba,
Kucuk bir php projesi icin kimlik dogrulama metodu yazmak gerekti. Herkesin
hazir AD hesabi varken "custom forms authentication" ve windows hesaplari
ile halledelim dedik. Kod parcasi asagida;

...
            $ldap =
ldap_connect("ad_server_url");
            $bind = ldap_bind($ldap, "$domain\\$uname" ,
$_POST['password']);
            if($bind){
              $_SESSION['user'] = $uname;
              $isAuthentic = TRUE;
              $log->LogInfo("Successfull log in attempt:
$uname");
            }
...

maalesef boş password gönderildiğinde ldap_bind yine TRUE dönüyor. :) Nedeni
1-2 yerde yazılmış ama iki şey ön plana çıkıyor.

1. sıkı girdi kontrolü (uzunluk v.b.)
2. denetim yaparken boş kullanıcı adı/şifrenin veya kullanıcı adı/boş
ÅŸifrenin kontrollere eklenmesi (bu kadar da olmaz demeden, denemeli),
yukarıda SESSION falan hep doğru username ile doluyor yani, çok tehlikeli.
 kolay gelsin.
-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111005/f1037029/attachment.html 


More information about the Owasp-turkey mailing list