LDAP注入攻擊類型有哪些

LDAP注入攻擊類型有以下這些：

• AND注入：這種注入就是攻擊者會會構造由”&”操作符和用戶引入的的參數組成的正常查詢在LDAP目錄中搜索，如果攻擊者輸入一個有效地用戶名，然后再這個名字后面注入恰當的語句，密碼檢查機制就會被繞過。

• OR注入：攻擊者會構造由”|”操作符和用戶引入的的參數組成的正常查詢在LDAP目錄中搜索，攻擊者可以注入代碼，維持正確的過濾器結構但能使用查詢實現他自己的目標。

• 布爾盲注：布爾盲注一般適用于頁面沒有回顯字段，且web頁面返回True或者false，構造SQL語句，利用and，or等關鍵字來其后的語句true、false使web頁面返回true或者false，從而達到注入的目的來獲取信息。

• 延時注入：通過構造延時注入語句，使瀏覽器頁面的響應時間出現延遲，通過判斷瀏覽器頁面的響應時間來判斷數據的正確性來達到攻擊的目的。主要應用場景就是判斷是否可以實施注入，如果瀏覽器產生延遲則說明存在注入點。

• 聯合查詢注入：聯合查詢是一種眾所周知的SQL注入技術，攻擊者利用一個脆弱的參數去改變給定查詢返回的數據集。聯合查詢最常用的用法是繞過認證頁面獲取數據。

防御注入攻擊的方法有以下這些：

• 使用參數化篩選語句，兩種方法可以確保應用程序不易受到SQL注入攻擊。一種是使用代碼審查，另一種是強制使用參數化語句。強制使用參數化語句意味著在運行時將拒絕嵌入用戶輸入中的SQL語句。但是，目前對此功能的支持不多。

• 避免使用解釋程序，這是黑客用來執行非法命令的手段。

• 防止SQL注入，但也避免一些詳細的錯誤消息，因為黑客可以使用這些消息。標準的輸入驗證機制用于驗證所有輸入數據的長度、類型、語句和企業規則。

• 使用專業的漏洞掃描工具。企業應該投資于專業的漏洞掃描工具，如著名的Accunetix網絡漏洞掃描程序。完美的漏洞掃描器不同于網絡掃描器，它專門在網站上查找SQL注入漏洞。最新的漏洞掃描程序可以找到最新發現的漏洞。

• 企業在Web應用程序開發過程的所有階段執行代碼安全檢查。首先，安全測試應該在部署Web應用程序之前實現，這比以前更重要、更深遠。企業還應在部署后使用漏洞掃描工具和站點監控工具測試網站。