El maligno Chema Alonso ha publicado en su blog un artículo en tres partes acerca de un tipo de vulnerabilidad que se empezó a tomar en consideración a partir de 2005. Al parecer, la referencia inicial sobre este problema fue el documento de investigación LDAP injection de Sacha Faust, un ingeniero de desarrollo de la empresa SPI Dynamics.

LDAP es un protocolo relativamente sencillo que actúa sobre un servicio de directorio. La vulnerabilidad, similar por ejemplo a la inyección de código en una consulta SQL, estaría presente en aplicaciones que no validan correctamente los datos con los que completan sus consultas LDAP. Esto supone en principio un riesgo de divulgación de información.

Podéis leer el artículo de Chema y compañía en este enlace: LDAP Injection & Blind LDAP Injection.