[Owasp-turkey] boş username/boş password - php ldap_bind

Canberk BOLAT canberk.bolat at gmail.com
Wed Oct 5 06:33:42 EDT 2011


Selam,
Eyvah eyvah demek istiyorum :) Sadece PHP LDAP implementasyonu için geçerli
bir durum değil mi Bedirhan hocam?

05 Ekim 2011 13:23 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> yazdı:

> Merhaba,
> Kucuk bir php projesi icin kimlik dogrulama metodu yazmak gerekti. Herkesin
> hazir AD hesabi varken "custom forms authentication" ve windows hesaplari
> ile halledelim dedik. Kod parcasi asagida;
>
> ...
>             $ldap =
> ldap_connect("ad_server_url");
>             $bind = ldap_bind($ldap, "$domain\\$uname" ,
> $_POST['password']);
>             if($bind){
>               $_SESSION['user'] = $uname;
>               $isAuthentic = TRUE;
>               $log->LogInfo("Successfull log in attempt:
> $uname");
>             }
> ...
>
> maalesef boş password gönderildiğinde ldap_bind yine TRUE dönüyor. :)
> Nedeni 1-2 yerde yazılmış ama iki şey ön plana çıkıyor.
>
> 1. sıkı girdi kontrolü (uzunluk v.b.)
> 2. denetim yaparken boş kullanıcı adı/şifrenin veya kullanıcı adı/boş
> şifrenin kontrollere eklenmesi (bu kadar da olmaz demeden, denemeli),
> yukarıda SESSION falan hep doğru username ile doluyor yani, çok tehlikeli.
>  kolay gelsin.
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111005/21bad57b/attachment.html 


More information about the Owasp-turkey mailing list