Во время тестирования было обнаружено, на корпоративном портале Заказчика используется аутентификация через Active Directory по LDAP-протоколу.

Нашими специалистами была обнаружена уязвимость типа «инъекция», в результате эксплуатации которой были получены личные данные сотрудников Заказчика.

Используя полученные данные с применением методов социальной инженерии, была произведена успешная попытка авторизации на корпоративном портале, в результате чего был получен доступ во внутреннюю инфраструктуру Заказчика.

Рекомендации по устранению уязвимостей: использовать программные платформы, которые автоматически защищают от внедрения «инъекций», а также функции, обеспечивающие безопасность LDAP-кодирования.