La classeDirectoryEntry
C # sarà vulnerabile a LDAP Injection dai parametri del costruttore?
Ad esempio:
DirectoryEntry de = new DirectoryEntry(path, username, txtPassword.Text, AuthenticationTypes.Secure);
DirectorySearcher search = new DirectorySearcher(de);
search.Filter = "(ACName=" + username + ")";
search.SearchScope = SearchScope.Subtree;
search.CacheResults = false;
...
So che è vulnerabile all'iniezione LDAP su search.Filter
, se l'applicazione accetta l'input dell'utente senza codifica / convalida e impostato su search.Filter
.
Causerà una vulnerabilità di LDAP Injection sui parametri di DirectoryEntry
costruttore come path, username, password se non ho convalidato / codificato l'input dell'utente e passato direttamente al costruttore?
C'è qualche altro punto di iniezione LDAP che devo prestare attenzione quando uso l'input dell'utente?