[설계보안] 디렉토리 서비스 조회 및 결과 검증

분류: 입력데이터 검증 및 표현  / LDAP 삽입

가. 항목명

디렉토리 서비스 조회 및 결과 검증

나. 취약점 설명

LDAP 조회 필터링 생성에 사용될 경우 입력값 검증이 수행하지 않게되어 공격자가 의도하는 LDAP 조회가 수행되는 취약점

다. 보안대책

① 외부 입력값에 LDAP 삽입되지 않도록 필터링 적용

라. 설계시 고려사항

① LDAP 인증서버로 인증 구현 시 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링.

• 필터 규칙으로 인식 가능한 특수문자(=, +, <, >, #, ;, \ 등)을 제거
• LDAP Syntax Filters
• dap-syntax-filters.aspx

마. 진단기준 및 세부사항

① LDAP 인증서버로 인증 구현 시 외부입력값은 LDAP 삽입 취약점을 갖지 않도록 설계

② LDAP 질의문 생성 시 입력값과 조회결과에 대한 필터링 검증을 설계

• 입력값을 필터링하는 기능 또는 안전한 외부 라이브러리를 사용하도록 설계되어있는지 확인
• DB연결 계정의 권한 외 요청이 차단되는지를 점검할 수 있는 테스트 계획 수립 여부 확인
• LDAP 필터의 규칙이 변경되는지 점검
  • 테스트 입력값: =, +, <, >, #, ;, \ 등

바. 안전한 보안설계의 예

No	요구사항명	해결방안	검수기준	비고
1	DB사용자 계정에 최소권한 부여	애플리케이션에서 사용하는 DB 사용자 계정은 애플리케이션에서 사용하는 테이블, 뷰, 프로시저에 대해서만 사용권한을 부여한다	애플리케이션에서 사용하는 DB사용자 계정은 테이블, 뷰, 프로시저에 대한 권한만 적용된다.	지속적인 DB사용자 계정 관리가 필요