Redis的CSRF漏洞如何防范
Posted 芝麻教程
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Redis的CSRF漏洞如何防范相关的知识,希望对你有一定的参考价值。
CSRF介绍
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
上图为CSRF攻击的一个简单模型用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。
Redis CSRF攻击模型
恶意网站可以让用户发送一个HTTP请求给Redis,由于Redis支持文本协议,而在解析协议过程中如果碰到非法的协议并不会断开链接,这个时候攻击者可以通过在正常的HTTP请求之后携带Redis命令从而在Redis上执行命令,而如果用户和Redis之间是没有密码验证的则可以正常执行Redis命令并对数据进行加密勒索,就像之前Mongodb赎金事件一样。
以上是关于Redis的CSRF漏洞如何防范的主要内容,如果未能解决你的问题,请参考以下文章