Tuesday, December 31, 2013

JNDI で LDAP インジェクション対策のささやかなこころみ

SQL に 「SQL インジェクション」 があるように, LDAP にも 「LDAP インジェクション」 というものがあるようです。 ただ, ネット上で調べても, SQL に比べると LDAP の事例はあまり多くは見かけない印象があります。 LDAP を利用するアプリケーションが世の中にそれほど多くないから, ということだけではなく, LDAP で利用する BIND や SEARCH や MODIFY などの構文は, 単なる文字列の組み立てだけで書くことができるわけではないから, ということも理由なのかなという気がしています。 とはいえ, 文字列の組み立てが発生しないわけでもないので, 無関心でいるよりは, 多少なりとも関心を持っておきたいとも思います。

Monday, December 30, 2013

LdapContext を close() するときのことについて

久しぶりに LDAP をさわってみています。 いろいろ忘れてしまったので, まずは手元の環境に用意した LDAP サーバー (OpenLDAP 2.4.38) に簡易認証で接続して, そのあとその接続を閉じるということから始めてみました。 そんな中で, 接続を閉じる際に, UNBIND リクエストを送らずに接続を閉じてしまうケースがあったので, それについてメモを残しておくことにしました。