🔐 ForusLab 취약 쇼핑몰
홈
사내 인사정보 검색 (LDAP) — WEB-32
WEB-32 LDAP Injection
💡
실제 발견 사례
: 고양도시관리공사 웹 취약점 진단 결과
사내 인사검색 기능에서 LDAP 쿼리 필터에 사용자 입력이 직접 삽입되어 전체 계정정보 노출
공격 예시:
admin)(uid=*
— 필터 우회로 전체 사용자 조회
*
— 와일드카드 검색
admin
— 정상 검색
사용자 ID (LDAP uid)
검색