我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]
Posted
技术标签:
【中文标题】我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]【英文标题】:Is it normal that I see other's Redis data on shared hosting? [closed]我在共享主机上看到其他人的 Redis 数据是否正常? [关闭] 【发布时间】:2020-06-14 01:56:36 【问题描述】:Redis 服务在我的主机上可用,如果我连接它是为了钱,它只对我可用,因为 Redis 在一个单独的 docker 容器中上升。
但是,如果我将其关闭,那么 Redis 仍然可以免费使用,尽管是在服务器范围内。在这里我连接到服务器范围的 Redis:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
我在那里看到了大约 300,000 条其他人网站的记录。
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
而且我可以更改每条记录!像这样:
$redis->set($allKeys[10000], 0);
也就是说,有人使用服务器范围的 Redis,我相信用户并不知道他们的数据是公开的。他刚刚在 WordPress 某处打开了“使用 Redis”复选框。
问题是:托管服务提供商是否对此负责?毕竟,普通用户认为他的数据只存储在他的服务器上,并且只有他自己可以使用。
技术支持的回应是:一切正常。
但我不这么认为,所以我问。
【问题讨论】:
可能只是您自己的数据库被暴露并且现在被其他人使用(例如托管一个隐蔽/恶意站点)......我曾经在意外离开测试时发生过这种情况(非生产, 没有真实的数据/使用) 暴露在互联网上的 redis 服务器。过几天回来发现里面全是别人的数据。 【参考方案1】:此托管服务提供商应对安全漏洞负责。考虑到 OWASP 的十大 Web 应用程序安全风险,这是一个安全风险很少的问题:身份验证损坏、敏感数据暴露和访问控制损坏。
下一步是什么取决于您。您应通知托管服务提供商,托管服务提供商应告知用户可能的数据泄露。这是一个非常严重的安全和法律问题,因为其他用户可能可以访问某人的私人数据。
见:https://owasp.org/www-project-top-ten/
【讨论】:
技术支持的回应是:一切正常。 @ДмитрийПаймуллин,如果您可以访问其他用户的数据,那么其他用户也可以访问您的数据。这并不安全,您应该考虑使用这个托管服务提供商。 @NikolaKirincic 您需要在consider
之前插入一个not
。
@NikolaKirincic 这里要记住的重要一点是,如果它没有被宣传为私人的,当然我认为我不会使用这样的东西,但如果它的功能和设计一样共享空间,这不违反安全规定。【参考方案2】:
我从事网络托管工作。这是不正确的,意味着他们手上有一个严重的问题!要求经理或主管。如果这无济于事,请移动。
根据您的描述,他们拥有为 Redis 用户付费的虚拟用户。他们似乎允许每个人访问同一个共享池,而不是为其他所有人禁用它,从而导致您描述的安全漏洞。
【讨论】:
您好 - 对原因进行一些解释,您的回答会更有建设性。 感谢您的建议。我已经编辑了我的初始回复。以上是关于我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]的主要内容,如果未能解决你的问题,请参考以下文章
在共享主机上使用 Castle Windsor 和 NHibernate 设施