LDAP NULL BASE 搜索访问
medium Nessus 插件 ID 10722
语言:
简介
远程 LDAP 服务器可能泄露敏感信息。描述
远程 LDAP 服务器支持带有 NULL 或空基对象的搜索请求。这允许在事先不了解目录结构的情况下检索信息。搭配 NULL BIND,匿名用户可能能够使用“LdapMiner”这样的工具来查询您的 LDAP 服务器。请注意,有许多原因都支持允许带有 NULL 基的查询。
例如,LDAP 协议的版本 3 中需要它(以及关于受支持的命名上下文、认证类型等信息)来提供对根 DSA 特定条目 (DSE) 的访问。它还意味着合法用户可以在事先不了解目录结构的情况下在目录中查找信息。因此,这种结果可能是误报。