明女士@font-face{字体类型:“朝”;}@font-face {font-family: "Cambria Math";}@ font-family: " font-family: ";} p。MsoNormal,李。msonnormal, div. msonnormal {margin: 0in 0in 0.0001pt;字体大小:12 pt;字体类型:威尔士;}.MsoChpDefault {font-family:宋体; }div.WordSection1 { page: WordSection1; }
正如域名系统(DNS)是基础设施中的一个关键部分,IT在安全规划或日常安全操作中很少考虑到它一样,“”企业目录也是如此。
我们不能否认或最小化单个源的效用,这样系统就可以确定谁在试图使用它们。然而,将如此多的权力放在一个系统中,会使该系统成为敌意关注的目标,无论是该组织内部还是外部。
最低限度地,IT需要确保与目录的所有通信都使用传输级安全,如SSL。然而,这并不能保证系统是安全的。IT必须正确处理许多其他配置细节,以降低通过目录泄露信息和目录损坏的风险。
其中最有趣也最难对付的是LDAP注入。这是一种针对应用程序层的攻击,利用格式良好的LDAP请求从系统中获取比应用程序设计人员预期的更多的信息。与SQL注入一样,它依赖于将传递给LDAP系统的应用程序请求信息(如用户名或密码);这种攻击只是在输入数据中添加额外的命令。如果数据在传递到目录之前没有被清除——如果应用程序只是完整地推送数据,就像许多应用程序做的那样——那么攻击者就可以使用应用程序服务器的凭证访问目录。攻击者可以获取自己未授权的数据,调整目录本身的权限,或修改其中存储的数据。
底线:应用级攻击不仅仅针对CRM这样的企业应用;他们还可以攻击支持网络服务的基础设施。将LDAP纳入您的安全规划,不仅作为一个工具,而且作为一个目标。