[Skill 名] php-ldap-audit

PHP LDAP インジェクション監査（php-ldap-audit）

PHP プロジェクトのソースコードを分析し、LDAP クエリ関連コード（filter/DN 構築）を特定して、LDAP インジェクションのリスクを検出します。攻撃者は filter または DN フラグメントを制御することで LDAP クエリのセマンティクスを変更し、不正なクエリ、データ漏洩、または認証バイパスを引き起こす可能性があります。

分類と番号付け

• 詳細については、shared/SEVERITY_RATING.md を参照してください。
• 脆弱性番号：{C/H/M/L}-LDAP-{連番}

LDAP Sink（必須）

以下の関数/ステートメントを最終実行点として特定します。

• ldap_search({value}) / ldap_read({value}) / ldap_list({value})
• およびそれらのプロジェクトラッパー（最終的に filter/DN 文字列が渡されるもの）

必須検査証拠点（必須、trace 契約との整合性）

各 LDAP 疑わしい脆弱性について、php-route-tracer の trace における ## 9) Sink Evidence Type Checklist の LDAP 行に対応する証拠点 ID を項目ごとに引用する必要があります。

1. EVID_LDAP_EXEC_POINT：LDAP クエリ実行点（ldap_* 関数呼び出し/ラッパーへの最終引数渡し箇所）の証拠
2. EVID_LDAP_FILTER_STRING_CONSTRUCTION：LDAP filter/DN 文字列構築箇所（連結/テンプレート化）の証拠
3. EVID_LDAP_USER_PARAM_TO_FILTER_FRAGMENT：ユーザー制御可能なパラメータから filter/DN フラグメントへのマッピングの証拠

制御可能性とインジェクション点の確認（必須）

以下を出力し、判断する必要があります。

• ユーザー入力の出所：$_GET/$_POST/json/php://input/$_COOKIE/$_FILES またはその派生フィールド
• filter/DN の構築方法：直接文字列連結か、エスケープされているか、allowlist（ホワイトリスト）が存在するか
• インジェクションによって変更可能なセマンティクス点：例えば、*、(、) などの LDAP filter 構文関連文字をインジェクションできるか（またはエンコードによってエスケープをバイパスできるか）
• エスケープ/サニタイズの有無：ldap_escape（または同等のカスタム関数）を優先的に使用し、それが最終的な filter/DN 構築に使用されていることを証明できる必要があります。

tracer トリガー条件（必須）

以下のいずれかの条件が満たされた場合、php-route-tracer（または同等の深度追跡）をトリガーする必要があります。

• filter/DN が複数の変数/関数階層で連結されているか、JSON デコード後に連結されている場合
• filter/DN が ldap_search/read/list に入る前に分岐（if/switch/try）または早期 return/throw が存在する場合
• エスケープロジックに条件分岐が存在する場合（一部の分岐でエスケープされていない、または一部のフィールドのみエスケープされている）

レポート出力

以下に出力します。

{output_path}/vuln_audit/ldap_{timestamp}.md

脆弱性項目テンプレート（必須）

各 LDAP 脆弱性は以下の構造を含める必要があります。

### [{等級プレフィックス}-LDAP-{連番}] LDAP インジェクション脆弱性（filter/DN 連結によるクエリセマンティクス変更）

| 項目 | 情報 |
|------|------|
| 深刻度 | {🔴/🟠/🟡/🔵} (CVSS {score}) |
| 到達可能性 (R) | {0-3} - {理由} |
| 影響範囲 (I) | {0-3} - {理由} |
| 悪用複雑度 (C) | {0-3} - {理由} |
| 悪用可能性 | ✅ 確認済み / ⚠️ 要検証 / ❌ 悪用不可 / 🔍 環境依存 |
| 位置 | {file}:{line} ({Function}) |

#### データフローチェーン（Source → Sink）
(ルートごとに各行に記述：入力読み取り -> 変数連結/変換/エスケープ -> filter/DN 最終生成 -> ldap_* 実行呼び出し、省略禁止)

#### 悪用可能な前提条件
- 認証要件：{不要/ログイン必要/特定権限必要}
- 入力制御可能性：{完全に制御可能/条件付きで制御可能/制御不可}
- トリガー条件：{分岐/例外/環境依存}
- エスケープ/ホワイトリストの信頼性：{信頼できる保護あり/保護欠如/保護バイパス可能}

#### 証拠引用（必須：php-route-tracer から）
- `EVID_LDAP_EXEC_POINT`：{対応する証拠要点の概要}
- `EVID_LDAP_FILTER_STRING_CONSTRUCTION`：{対応する証拠要点の概要}
- `EVID_LDAP_USER_PARAM_TO_FILTER_FRAGMENT`：{対応する証拠要点の概要}

#### 検証 PoC（必須：実行可能なリクエストを提示）
```http
{HTTP Method} {実際のルートと完全なパラメータ} HTTP/1.1
Host: {host}
{必要な Cookie/Auth}

{Payload}

PoC 生成戦略（明確に記述する必要があります）：

• まず「プローブペイロード」を使用して filter/DN が評価されることを証明します（返される数/ステータスコード/応答の差異）。
• 次に「インジェクションペイロード」を使用してクエリセマンティクスを変更できることを証明します（例：マッチング範囲の拡大/条件のバイパス）。

推奨される修正

• ldap_escape($value, '', LDAP_ESCAPE_FILTER)（または同等の関数）を使用して、filter のユーザー入力を厳密にエスケープします。
• 制御可能なフィールドに対して allowlist（許可リスト）を適用します（合法な文字セット、固定属性名のみを許可し、長さを制限します）。
• filter/DN の直接的な文字列連結を禁止します。パラメータ化/テンプレート化された安全な組み立てに変更します（PHP にネイティブな LDAP パラメータ化がない場合でも、コードレベルで厳密に組み立てる必要があります）。
• すべての filter/DN 連結箇所を特定するためのコード検索ステートメント（rg）を提示します。

tracer 証拠欠如の処理（必須）

• trace 契約の LDAP 行において、いずれかの主要な証拠点（EVID_LDAP_EXEC_POINT / EVID_LDAP_FILTER_STRING_CONSTRUCTION / EVID_LDAP_USER_PARAM_TO_FILTER_FRAGMENT）が欠如しているか、この脆弱性に対応できない場合：ステータスは ⚠️要検証 とのみマークされ、✅確認済み悪用可能 と直接提示することはできません。