我在共享主机上看到其他人的 Redis 数据是不是正常？ [关闭]

Posted 2023-03-25

【中文标题】我在共享主机上看到其他人的 Redis 数据是不是正常？ [关闭]

【英文标题】：Is it normal that I see other's Redis data on shared hosting? [closed]我在共享主机上看到其他人的 Redis 数据是否正常？ [关闭]

【发布时间】：2020-06-14 01:56:36

【问题描述】：

Redis 服务在我的主机上可用，如果我连接它是为了钱，它只对我可用，因为 Redis 在一个单独的 docker 容器中上升。

但是，如果我将其关闭，那么 Redis 仍然可以免费使用，尽管是在服务器范围内。在这里我连接到服务器范围的 Redis：

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

我在那里看到了大约 300,000 条其他人网站的记录。

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

而且我可以更改每条记录！像这样：

$redis->set($allKeys[10000], 0);

也就是说，有人使用服务器范围的 Redis，我相信用户并不知道他们的数据是公开的。他刚刚在 WordPress 某处打开了“使用 Redis”复选框。

问题是：托管服务提供商是否对此负责？毕竟，普通用户认为他的数据只存储在他的服务器上，并且只有他自己可以使用。

技术支持的回应是：一切正常。

但我不这么认为，所以我问。

【问题讨论】：

可能只是您自己的数据库被暴露并且现在被其他人使用（例如托管一个隐蔽/恶意站点）......我曾经在意外离开测试时发生过这种情况（非生产, 没有真实的数据/使用) 暴露在互联网上的 redis 服务器。过几天回来发现里面全是别人的数据。

【参考方案1】：

此托管服务提供商应对安全漏洞负责。考虑到 OWASP 的十大 Web 应用程序安全风险，这是一个安全风险很少的问题：身份验证损坏、敏感数据暴露和访问控制损坏。

下一步是什么取决于您。您应通知托管服务提供商，托管服务提供商应告知用户可能的数据泄露。这是一个非常严重的安全和法律问题，因为其他用户可能可以访问某人的私人数据。

见：https://owasp.org/www-project-top-ten/

【讨论】：

技术支持的回应是：一切正常。

@ДмитрийПаймуллин，如果您可以访问其他用户的数据，那么其他用户也可以访问您的数据。这并不安全，您应该考虑使用这个托管服务提供商。

@NikolaKirincic 您需要在consider 之前插入一个not。

@NikolaKirincic 这里要记住的重要一点是，如果它没有被宣传为私人的，当然我认为我不会使用这样的东西，但如果它的功能和设计一样共享空间，这不违反安全规定。

【参考方案2】：

我从事网络托管工作。这是不正确的，意味着他们手上有一个严重的问题！要求经理或主管。如果这无济于事，请移动。

根据您的描述，他们拥有为 Redis 用户付费的虚拟用户。他们似乎允许每个人访问同一个共享池，而不是为其他所有人禁用它，从而导致您描述的安全漏洞。

【讨论】：

您好 - 对原因进行一些解释，您的回答会更有建设性。

感谢您的建议。我已经编辑了我的初始回复。