none
如何禁用LDAP匿名绑定 RRS feed

  • 问题

  • 使用微软AD作为LDAP认证服务器,服务器可以被nessus扫出NULL Bind漏洞。

    且python语句

    ldapconn.simple_bind_s('', '')

    和php的ldap_bind()函数提交空值数据,都判定执行成功,导致了web应用的LDAP注入类登陆绕过问题

    通过微软文档

    的参考,发现对  DsHeuristics 属性的调整,仅能禁用掉对rootDSE的匿名查询访问,但不影响匿名绑定(使用LDAP Browser验证),

    尝试使用OpenLDAP,参考官方security文档

    通过调整slapd.conf文件,可以禁用掉匿名绑定

    想请教一下,windows server是否能像openLDAP一样,对LDAP匿名绑定进行调整


    • 已编辑 zhttty 2020年12月9日 9:20
    2020年12月9日 7:12

全部回复