LDAP或轻型目录访问协议是一种用于读取目录，文件或设备中的数据的方法。实际上，这是目录访问服务，例如，可用于提供有关尝试登录的用户的信息，而该用户正作为单点登录SSO流程的一部分。那么LDAP有哪些注入漏洞？如何防止？

LDAP的常见用途是提供集中式身份验证，因此，它可用于验证用户以允许访问任何应用程序的受限模块。LDAP的主要工作是从Active Directory（AD）中提取可用格式的信息，该Active Directory是包含大量神秘数据的域控制器。LDAP使用简单的基于字符串的查询从AD中提取信息。

LDAP注入是一个漏洞，其中查询语句是由不正确清理或验证的不可靠输入创建的。这使用特殊字符作为输入参数。这些字符影响可以从AD检索的对象的类型和数量。如果恶意用户可以提交包含那些特殊字符的输入，则他们可以更改查询并更改所需的行为。

提交到服务器的查询称为LDAP搜索过滤器。它们是使用前缀表示法构造的。该表示法发给服务器，如果未正确清理或验证，则可以更改查询的含义并返回AD中的所有用户。诸如“ *”之类的特殊字符也会创建其他恶意查询。可以在易受攻击的服务器上执行许多LDAP注入漏洞。

如何防止LDAP注入：

1.强大的输入验证；

2.使用编码转义输入；

3.严格的目录授权。

以上就是关于LDAP有哪些注入漏洞及如何防止的内容介绍，想了解更多关于LDAP注入漏洞的信息，请继续关注吧。