1.3 디렉토리 서비스 조회 및 결과 검증

1.3 디렉토리 서비스 조회 및 결과 검증

 

1. 보안약점 항목

• LDAP 삽입

2. 설명

• 디렉토리 서비스(LDAP 등)를 조회할 때 입력값과 그 조회결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계한다

3. 보안대책

• LDAP 인증서버로 인증을 구현하는 경우 인증요청을 위해 사용되는 외부입력값은 LDAP 삽입 취약점을 가지지 않도록 필터링해서 사용해야 한다.

4. 진단기준

• 외부입력값이 LDAP조회를 위한 필터생성에 삽입되어 사용되는 경우, 안전하게 사용될 수 있도록 보안설계가
  적용되어 있는가?
• LDAP 삽입 취약점을 점검할 수 있는 테스트 계획이 수립되어 있는가?