[Owasp-turkey] boş username/boş password - php ldap_bind

Serkan Özkan serkanozkan at gmail.com
Wed Oct 5 07:08:20 EDT 2011


Selam,
Ldap bind işlemlerinde eğer şifre belirtilmemişse, kullanıcı adı
belirtilmişse bile, bu anonymous bind isteği sayılır. Eğer ldap sunucusu
anonymous bind'a izin veriyorsa ve şifre boşsa ldap_bind fonksiyonu true
döner. Bu durum php'ye özel ya da php'den kaynaklanan bir sorun değildir.



2011/10/5 Canberk BOLAT <canberk.bolat at gmail.com>

> Selam,
> Eyvah eyvah demek istiyorum :) Sadece PHP LDAP implementasyonu için geçerli
> bir durum değil mi Bedirhan hocam?
>
> 05 Ekim 2011 13:23 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:
>
>> Merhaba,
>> Kucuk bir php projesi icin kimlik dogrulama metodu yazmak gerekti.
>> Herkesin hazir AD hesabi varken "custom forms authentication" ve windows
>> hesaplari ile halledelim dedik. Kod parcasi asagida;
>>
>> ...
>>             $ldap =
>> ldap_connect("ad_server_url");
>>             $bind = ldap_bind($ldap, "$domain\\$uname" ,
>> $_POST['password']);
>>             if($bind){
>>               $_SESSION['user'] = $uname;
>>               $isAuthentic = TRUE;
>>               $log->LogInfo("Successfull log in attempt:
>> $uname");
>>             }
>> ...
>>
>> maalesef boş password gönderildiğinde ldap_bind yine TRUE dönüyor. :)
>> Nedeni 1-2 yerde yazılmış ama iki şey ön plana çıkıyor.
>>
>> 1. sıkı girdi kontrolü (uzunluk v.b.)
>> 2. denetim yaparken boş kullanıcı adı/şifrenin veya kullanıcı adı/boş
>> şifrenin kontrollere eklenmesi (bu kadar da olmaz demeden, denemeli),
>> yukarıda SESSION falan hep doğru username ile doluyor yani, çok tehlikeli.
>>  kolay gelsin.
>> --
>> Bedirhan Urgun
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Canberk Bolat
> Security Researcher
> http://twitter.com/cnbrkbolat
> http://cbolat.blogspot.com
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20111005/1e562919/attachment.html 


More information about the Owasp-turkey mailing list