主頁 > 移動端開發 > 如何使用LDAP安全地驗證用戶身份?

如何使用LDAP安全地驗證用戶身份?

2022-09-15 13:04:36 移動端開發

對于背景關系:我正在開發一個 Web 應用程式,用戶需要在其中進行身份驗證才能查看內部檔案。我不需要任何有關用戶的詳細資訊,也不需要特殊權限管理,兩種狀態就足夠了:會話屬于經過身份驗證的用戶(→ 檔案可以訪問)或不屬于(→ 檔案無法訪問)。用戶通過提供用戶名和密碼進行身份驗證,我想檢查 LDAP 服務器。

我正在使用 Python 3.10 和ldap3Python 庫。

編碼

我目前正在使用以下代碼對用戶進行身份驗證:

#!/usr/bin/env python3
import ssl

from ldap3 import Tls, Server, Connection
from ldap3.core.exceptions import LDAPBindError, LDAPPasswordIsMandatoryError


def is_valid(username: str, password: str) -> bool:
    tls_configuration = Tls(validate=ssl.CERT_REQUIRED)
    server = Server("ldaps://ldap.example.com", tls=tls_configuration)
    user_dn = f"cn={username},ou=ops,dc=ldap,dc=example,dc=com"

    try:
        with Connection(server, user=user_dn, password=password):
            return True
    except (LDAPBindError, LDAPPasswordIsMandatoryError):
        return False

演示實體

如果要運行此代碼,可以嘗試使用FreeIPA 的專案演示 LDAP 服務器

  • 替換CERT_REQUIRED為,CERT_NONE因為服務器僅提供自簽名證書(這顯然是一個安全漏洞,但需要使用此特定演示 - 我要使用的服務器使用 Let's Encrypt 證書)。
  • 替換"ldaps://ldap.example.com"ldaps://ipa.demo1.freeipa.org
  • 替換user_dnf"uid={username},cn=users,cn=accounts,dc=demo1,dc=freeipa,dc=org"

這樣做之后,您可以嘗試運行以下命令:

>>> is_valid("admin", "Secret123")
True
>>> is_valid("admin", "Secret1234")
False
>>> is_valid("admin", "")
False
>>> is_valid("admin", None)
False
>>> is_valid("nonexistent", "Secret123")
False

我的問題

上面的代碼是否可以安全地確定用戶是否提供了有效的憑據?

值得注意的是,我擔心以下特定方面:

  1. 嘗試系結到 LDAP 服務器是否足以驗證憑據?
    • with僅當系結成功時才應執行陳述句的主體,因此True無需多言就回傳。這安全嗎?或者是否有可能系結成功,但提供的密碼仍然被認為是錯誤的,不足以針對 Web 應用程式對用戶進行身份驗證。
  2. 我是否對注射攻擊敞開心扉?如果是這樣,如何正確緩解它們?
    • user_dn = f"cn={username},ou=ops,dc=ldap,dc=example,dc=com"使用不受信任 username的(直接來自網路表單)來構建字串。這基本上是在尖叫 LDAP 注入。
  3. TLS 是否正確配置?
    • 連接應該使用現代 TLS 加密并驗證服務器提供的證書,就像普通瀏覽器一樣。

另外,當然,如果我的代碼還有其他不安全的地方,我很樂意知道它是什么。

我已經找到的資源

我已經搜索了特定方面的答案。可悲的是,我沒有找到任何確定的東西(即沒有人肯定地說我在這里做的事情是壞的還是好的),但我想提供它們作為潛在答案的起點:

  1. 大概是。
    • “How to bind (authenticate) a user with ldap3 in python3”使用了類似的代碼片段來系結,沒有人明確說這很糟糕。
    • Auth0 在他們的博客文章“將 LDAP 和 Active Directory 與 C# 101 一起使用”中使用了這種方法,他們可能知道自己在做什么。
  2. 可能不會,所以不需要緩解。
    • 關于 LDAP 注入有一些問題(例如“如何防止 ldap3 for python3 中的 LDAP 注入”),但它們總是只提到過濾和搜索,而不是系結。
    • OWASP Cheat Sheet on LDAP Injection提到啟用系結身份驗證作為一種在過濾時減輕 LDAP 注入的方法,但沒有提及系結 DN 所需的清理
    • 我想你甚至可以爭辯說這種情況不容易受到注入攻擊,因為我們確實在處理不受信任的輸入,但只在預期不受信任的輸入的地方任何人都可以在登錄表單中輸入任何內容,但他們也可以將任何內容放入請求中以系結到 LDAP 服務器(甚至無需使用 Web 應用程式)。只要我不將不受信任的輸入放在預期受信任輸入的地方(例如,在與 LDAP 管理員帳戶系結后在過濾器查詢中使用用戶名),我應該是安全的。
    • 但是,該物件的ldap3檔案Connection確實提到了escape_rdn與不受信任的用戶名系結時應該使用的內容。這與我的假設不一致,誰是對的?
  3. 大概是。
    • 當我嘗試將此代碼與僅提供自簽名證書的服務器一起使用時,至少引發了一個錯誤,所以我想我應該是安全的。

uj5u.com熱心網友回復:

嘗試系結到 LDAP 服務器是否足以驗證憑據?

從 LDAP 協議方面來看,是的,并且許多系統已經依賴于這種行為(例如,針對 LDAP 服務器的 Linux 作業系統級別身份驗證的 pam_ldap)。我從未聽說過任何將系結結果推遲到另一個操作的服務器。

.bind()從 ldap3 模塊方面我會更擔心,因為根據我初始化連接的經驗,在我明確呼叫(或者除非我指定 auto_bind=True)之前,我沒有嘗試連接(更不用說系結)到服務器,但是如果你的示例作業然后我假設使用一個with塊可以正確地做到這一點。

在舊代碼中(它擁有一個持久連接,沒有'with')我使用過這個,但它可能已經過時了:

conn = ldap3.Connection(server, raise_exceptions=True)
conn.bind()

(對于某些應用程式,我使用 Apache 作為反向代理,它的 mod_auth_ldap 為我處理 LDAP 身份驗證,尤其是在“已通過身份驗證”就足夠的情況下。)

我是否對注射攻擊敞開心扉?如果是這樣,如何正確緩解它們?

嗯,有點,但不是以一種容易被利用的方式。系結 DN 不是一個自由格式的查詢——它只是一個看起來很奇怪的“用戶名”欄位,它必須與現有條目完全匹配;你不能在里面放通配符。

(嚴格“系結”操作接受什么符合 LDAP 服務器的最大利益,因為它實際上是在完成任何其他操作之前登錄 LDAP 服務器的面向用戶的操作——它不僅僅是一個“密碼檢查”功能。 )

例如,如果您在 OU=Ops 有一些用戶,而在 OU=Superops,OU=Ops 有一些用戶,那么有人可以將Foo,OU=Superops其用戶名指定為UID=Foo,OU=Superops,OU=Ops,DN,但他們仍然必須為該帳戶提供正確的密碼反正; 他們不能在檢查另一個帳戶的密碼時欺騙服務器使用一個帳戶的權限。

但是,無論如何,很容易避免注入。可以使用以下方法轉義 DN 組件值:

  • ldap3:ldap3.utils.dn.escape_rdn(string)
  • 蟒蛇ldap:ldap.dn.escape_dn_chars(string)

話雖如此,我不喜歡“DN 模板”方法的原因完全不同——它的用處相當有限;它僅在您的所有帳戶都在同一個 OU(平面層次結構)下并且僅當它們以uid屬性命名時才有效。

這可能是專門構建的 LDAP 目錄的情況,但在典型的 Microsoft Active Directory 服務器上(或者,我相信,在某些 FreeIPA 服務器上也是如此),用戶帳戶條目以其全名cn屬性)命名,并且可以分散在許多 OU 中。兩步法更常見:

  1. 使用您的應用程式的服務憑據進行系結,然后在目錄中搜索uid屬性中包含用戶名或類似名稱的任何“用戶”條目,并驗證您是否找到了一個條目;
  2. 取消系結(可選?),然后使用用戶找到的DN 和提供的密碼再次系結。

搜索時,您確實需要擔心 LDAP 過濾器注入攻擊,因為類似的用戶名foo)(uid=*可能會產生不良結果。(但要求結果完全匹配 1 個條目——而不是“至少 1 個”——也有助于緩解這種情況。)

可以使用以下方法轉義過濾器值:

  • ldap3:ldap3.utils.conv.escape_filter_chars(string)
  • 蟒蛇ldap:ldap.filter.escape_filter_chars(string)

(python-ldap 也有一個方便的包裝器ldap.filter.filter_format,但它基本上只是the_filter % tuple(map(escape_filter_chars, args)).)

過濾器值的轉義規則與 RDN 值的轉義規則不同,因此您需要針對特定??背景關系使用正確的轉義規則。但至少與 SQL 不同,它們在任何地方都完全相同,因此 LDAP 客戶端模塊附帶的功能適用于任何服務器。

TLS 是否正確配置?

ldap3/core/tls.py 在我看來不錯——它在支持時使用 ssl.create_default_context(),加載系統默認 CA 證書,因此不需要額外配置。盡管它確實實作了自定義主機名檢查,而不是依賴于 ssl 模塊的 check_hostname,所以這有點奇怪。(也許 LDAP-over-TLS 規范定義了與通常的 HTTP-over-TLS 稍有不兼容的通配符匹配規則。)


替代手動轉義 DN 模板的替代方法:

dn = build_dn({"CN": f"{last}, {first} ({username})"},
              {"OU": "Faculty of Foo and Bar (XYZF)"},
              {"OU": "Staff"},
              ad.BASE_DN)
def build_dn(*args):
    components = []
    for rdn in args:
        if isinstance(rdn, dict):
            rdn = [(a, ldap.dn.escape_dn_chars(v))
                   for a, v in rdn.items()]
            rdn.sort()
            rdn = " ".join(["%s=%s" % av for av in rdn])
            components.append(rdn)
        elif isinstance(rdn, str):
            components.append(rdn)
        else:
            raise ValueError("Unacceptable RDN type for %r" % (rdn,))
    return ",".join(components)

轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/508175.html

標籤:Python ssl LDAP 代码注入 ldap3

上一篇:Letsencrypt的通配符SSL-好的,但CN仍然是“domain.com”而不是“*.domain.com”

下一篇:REST和TLS/SSL等基于Web的API之間有什么關系?

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 【從零開始擼一個App】Dagger2

    Dagger2是一個IOC框架,一般用于Android平臺,第一次接觸的朋友,一定會被搞得暈頭轉向。它延續了Java平臺Spring框架代碼碎片化,注解滿天飛的傳統。嘗試將各處代碼片段串聯起來,理清思緒,真不是件容易的事。更不用說還有各版本細微的差別。 與Spring不同的是,Spring是通過反射 ......

    uj5u.com 2020-09-10 06:57:59 more
  • Flutter Weekly Issue 66

    新聞 Flutter 季度調研結果分享 教程 Flutter+FaaS一體化任務編排的思考與設計 詳解Dart中如何通過注解生成代碼 GitHub 用對了嗎?Flutter 團隊分享如何管理大型開源專案 插件 flutter-bubble-tab-indicator A Flutter librar ......

    uj5u.com 2020-09-10 06:58:52 more
  • Proguard 常用規則

    介紹 Proguard 入口,如何查看輸出,如何使用 keep 設定入口以及使用實體,如何配置壓縮,混淆,校驗等規則。

    ......

    uj5u.com 2020-09-10 06:59:00 more
  • Android 開發技術周報 Issue#292

    新聞 Android即將獲得類AirDrop功能:可向附近設備快速分享檔案 谷歌為安卓檔案管理應用引入可安全隱藏資料的Safe Folder功能 Android TV新主界面將顯示電影、電視節目和應用推薦內容 泄露的Android檔案暗示了傳說中的谷歌Pixel 5a與折疊屏新機 谷歌發布Andro ......

    uj5u.com 2020-09-10 07:00:37 more
  • AutoFitTextureView Error inflating class

    報錯: Binary XML file line #0: Binary XML file line #0: Error inflating class xxx.AutoFitTextureView 解決: <com.example.testy2.AutoFitTextureView android: ......

    uj5u.com 2020-09-10 07:00:41 more
  • 根據Uri,Cursor沒有獲取到對應的屬性

    Android: 背景:呼叫攝像頭,拍攝視頻,指定保存的地址,但是回傳的Cursor檔案,只有名稱和大小的屬性,沒有其他諸如時長,連ID屬性都沒有 使用 cursor.getInt(cursor.getColumnIndexOrThrow(MediaStore.Video.Media.DURATIO ......

    uj5u.com 2020-09-10 07:00:44 more
  • Android連載29-持久化技術

    一、持久化技術 我們平時所使用的APP產生的資料,在記憶體中都是瞬時的,會隨著斷電、關機等丟失資料,因此android系統采用了持久化技術,用于存盤這些“瞬時”資料 持久化技術包括:檔案存盤、SharedPreference存盤以及資料庫存盤,還有更復雜的SD卡記憶體儲。 二、檔案存盤 最基本存盤方式, ......

    uj5u.com 2020-09-10 07:00:47 more
  • Android Camera2Video整合到自己專案里

    背景: Android專案里呼叫攝像頭拍攝視頻,原本使用的 MediaStore.ACTION_VIDEO_CAPTURE, 后來因專案需要,改成了camera2 1.Camera2Video 官方demo有點問題,下載后,不能直接整合到專案 問題1.多次拍攝視頻崩潰 問題2.雙擊record按鈕, ......

    uj5u.com 2020-09-10 07:00:50 more
  • Android 開發技術周報 Issue#293

    新聞 谷歌為Android TV開發者提供多種新功能 Android 11將自動填表功能整合到鍵盤輸入建議中 谷歌宣布Android Auto即將支持更多的導航和數字停車應用 谷歌Pixel 5只有XL版本 搭載驍龍765G且將比Pixel 4更便宜 [圖]Wear OS將迎來重磅更新:應用啟動時間 ......

    uj5u.com 2020-09-10 07:01:38 more
  • 海豚星空掃碼投屏 Android 接收端 SDK 集成 六步驟

    掃碼投屏,開放網路,獨占設備,不需要額外下載軟體,微信掃碼,發現設備。支持標準DLNA協議,支持倍速播放。視頻,音頻,圖片投屏。好點意思。還支持自定義基于 DLNA 擴展的操作動作。好像要收費,沒體驗。 這里簡單記錄一下集成程序。 一 跟目錄的build.gradle添加私有mevan倉庫 mave ......

    uj5u.com 2020-09-10 07:01:43 more
最新发布
  • 歡迎頁輪播影片

    如圖,引導開始,球從上落下,同時淡入文字,然后文字開始輪播,最后一頁時停止,點擊進入首頁。 在來看看效果圖。 重力球先不講,主要歡迎輪播簡單實作 首先新建一個類 TextTranslationXGuideView,用于影片展示 文本是類似的,最后會有個圖片箭頭影片,布局很簡單,就是一個 TextVi ......

    uj5u.com 2023-04-20 08:40:31 more
  • 【FAQ】關于華為推送服務因營銷訊息頻次管控導致服務通訊類訊息

    一. 問題描述 使用華為推送服務下發IM訊息時,下發訊息請求成功且code碼為80000000,但是手機總是收不到訊息; 在華為推送自助分析(Beta)平臺查看發現,訊息發送觸發了頻控。 二. 問題原因及背景 2023年1月05日起,華為推送服務對咨詢營銷類訊息做了單個設備每日推送數量上限管理,具體 ......

    uj5u.com 2023-04-20 08:40:11 more
  • 歡迎頁輪播影片

    如圖,引導開始,球從上落下,同時淡入文字,然后文字開始輪播,最后一頁時停止,點擊進入首頁。 在來看看效果圖。 重力球先不講,主要歡迎輪播簡單實作 首先新建一個類 TextTranslationXGuideView,用于影片展示 文本是類似的,最后會有個圖片箭頭影片,布局很簡單,就是一個 TextVi ......

    uj5u.com 2023-04-20 08:39:36 more
  • 【FAQ】關于華為推送服務因營銷訊息頻次管控導致服務通訊類訊息

    一. 問題描述 使用華為推送服務下發IM訊息時,下發訊息請求成功且code碼為80000000,但是手機總是收不到訊息; 在華為推送自助分析(Beta)平臺查看發現,訊息發送觸發了頻控。 二. 問題原因及背景 2023年1月05日起,華為推送服務對咨詢營銷類訊息做了單個設備每日推送數量上限管理,具體 ......

    uj5u.com 2023-04-20 08:39:13 more
  • iOS從UI記憶體地址到讀取成員變數(oc/swift)

    開發除錯時,我們發現bug時常首先是從UI顯示發現例外,下一步才會去定位UI相關連的資料的。XCode有給我們提供一系列debug工具,但是很多人可能還沒有形成一套穩定的除錯流程,因此本文嘗試解決這個問題,順便提出一個暴論:UI顯示例外問題只需要兩個步驟就能完成定位作業的80%: 定位例外 UI 組 ......

    uj5u.com 2023-04-19 09:16:23 more
  • FIDE重磅更新!性能飛躍!體驗有禮!

    FIDE 開發者工具重構升級啦!實作500%性能提升,誠邀體驗! 一直以來不少開發者朋友在社區反饋,在使用 FIDE 工具的程序中,時常會遇到諸如加載不及時、代碼預覽/渲染性能不如意的情況,十分影響開發體驗。 作為技術團隊,我們深知一件趁手的開發工具對開發者的重要性,因此,在2023年開年,FinC ......

    uj5u.com 2023-04-19 09:16:15 more
  • 游戲內嵌社區服務開放,助力開發者提升玩家互動與留存

    華為 HMS Core 游戲內嵌社區服務提供快速訪問華為游戲中心論壇能力,支持玩家直接在游戲內瀏覽帖子和交流互動,助力開發者擴展內容生產和觸達的場景。 一、為什么要游戲內嵌社區? 二、游戲內嵌社區的典型使用場景 1、游戲內打開論壇 您可以在游戲內繪制論壇入口,為玩家提供沉浸式發帖、瀏覽、點贊、回帖、 ......

    uj5u.com 2023-04-19 09:15:46 more
  • iOS從UI記憶體地址到讀取成員變數(oc/swift)

    開發除錯時,我們發現bug時常首先是從UI顯示發現例外,下一步才會去定位UI相關連的資料的。XCode有給我們提供一系列debug工具,但是很多人可能還沒有形成一套穩定的除錯流程,因此本文嘗試解決這個問題,順便提出一個暴論:UI顯示例外問題只需要兩個步驟就能完成定位作業的80%: 定位例外 UI 組 ......

    uj5u.com 2023-04-19 09:14:53 more
  • FIDE重磅更新!性能飛躍!體驗有禮!

    FIDE 開發者工具重構升級啦!實作500%性能提升,誠邀體驗! 一直以來不少開發者朋友在社區反饋,在使用 FIDE 工具的程序中,時常會遇到諸如加載不及時、代碼預覽/渲染性能不如意的情況,十分影響開發體驗。 作為技術團隊,我們深知一件趁手的開發工具對開發者的重要性,因此,在2023年開年,FinC ......

    uj5u.com 2023-04-19 09:14:08 more
  • 游戲內嵌社區服務開放,助力開發者提升玩家互動與留存

    華為 HMS Core 游戲內嵌社區服務提供快速訪問華為游戲中心論壇能力,支持玩家直接在游戲內瀏覽帖子和交流互動,助力開發者擴展內容生產和觸達的場景。 一、為什么要游戲內嵌社區? 二、游戲內嵌社區的典型使用場景 1、游戲內打開論壇 您可以在游戲內繪制論壇入口,為玩家提供沉浸式發帖、瀏覽、點贊、回帖、 ......

    uj5u.com 2023-04-19 09:08:34 more