在共享主机上看到他人的Redis数据正常吗？

Posted 2021-03-31

Redis服务在我的主机上可用，如果我连接了它，则它仅对我可用，因为Redis出现在单独的Docker容器中。

但是，如果您将其关闭，则尽管在服务器范围内，Redis仍可以使用。在这里，我正在连接到服务器范围的Redis：

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

并且我看到那里大约有30万条其他人的记录。

也就是说，有人使用服务器范围的Redis，我相信用户并不了解其数据的公开可用性。他只是在WordPress的某个地方打开了“使用Redis”复选框。

问题是：托管服务提供商对此负责吗？毕竟，普通用户认为他的数据仅存储在服务器上，并且仅对他可用。

TP的回应是：一切正常。

但是我不这么认为，所以我问。

答案

该托管服务提供商应对安全漏洞负责。考虑到OWASP的十大Web应用程序安全风险，这是一个安全风险很小的问题：身份验证中断，敏感数据公开和访问控制中断。

您的下一步取决于您。您应通知托管服务提供商，托管服务提供商应将可能的数据泄露通知用户。这是非常严重的安全和法律问题，因为其他用户可以访问某人可能的私有数据。

参见：https://owasp.org/www-project-top-ten/