我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]

Posted

技术标签:

【中文标题】我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]【英文标题】:Is it normal that I see other's Redis data on shared hosting? [closed]我在共享主机上看到其他人的 Redis 数据是否正常? [关闭] 【发布时间】:2020-06-14 01:56:36 【问题描述】:

Redis 服务在我的主机上可用,如果我连接它是为了钱,它只对我可用,因为 Redis 在一个单独的 docker 容器中上升。

但是,如果我将其关闭,那么 Redis 仍然可以免费使用,尽管是在服务器范围内。在这里我连接到服务器范围的 Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

我在那里看到了大约 300,000 条其他人网站的记录。

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

而且我可以更改每条记录!像这样:

$redis->set($allKeys[10000], 0);

也就是说,有人使用服务器范围的 Redis,我相信用户并不知道他们的数据是公开的。他刚刚在 WordPress 某处打开了“使用 Redis”复选框。

问题是:托管服务提供商是否对此负责?毕竟,普通用户认为他的数据只存储在他的服务器上,并且只有他自己可以使用。

技术支持的回应是:一切正常。

但我不这么认为,所以我问。

【问题讨论】:

可能只是您自己的数据库被暴露并且现在被其他人使用(例如托管一个隐蔽/恶意站点)......我曾经在意外离开测试时发生过这种情况(非生产, 没有真实的数据/使用) 暴露在互联网上的 redis 服务器。过几天回来发现里面全是别人的数据。 【参考方案1】:

此托管服务提供商应对安全漏洞负责。考虑到 OWASP 的十大 Web 应用程序安全风险,这是一个安全风险很少的问题:身份验证损坏、敏感数据暴露和访问控制损坏。

下一步是什么取决于您。您应通知托管服务提供商,托管服务提供商应告知用户可能的数据泄露。这是一个非常严重的安全和法律问题,因为其他用户可能可以访问某人的私人数据。

见:https://owasp.org/www-project-top-ten/

【讨论】:

技术支持的回应是:一切正常。 @ДмитрийПаймуллин,如果您可以访问其他用户的数据,那么其他用户也可以访问您的数据。这并不安全,您应该考虑使用这个托管服务提供商。 @NikolaKirincic 您需要在consider 之前插入一个not @NikolaKirincic 这里要记住的重要一点是,如果它没有被宣传为私人的,当然我认为我不会使用这样的东西,但如果它的功能和设计一样共享空间,这不违反安全规定。【参考方案2】:

我从事网络托管工作。这是不正确的,意味着他们手上有一个严重的问题!要求经理或主管。如果这无济于事,请移动。

根据您的描述,他们拥有为 Redis 用户付费的虚拟用户。他们似乎允许每个人访问同一个共享池,而不是为其他所有人禁用它,从而导致您描述的安全漏洞。

【讨论】:

您好 - 对原因进行一些解释,您的回答会更有建设性。 感谢您的建议。我已经编辑了我的初始回复。

以上是关于我在共享主机上看到其他人的 Redis 数据是不是正常? [关闭]的主要内容,如果未能解决你的问题,请参考以下文章

在共享主机上使用 Castle Windsor 和 NHibernate 设施

用阿里云独享虚拟主机搭建个人网站

Ajax Post Laravel 共享主机上的 403 错误

文件上传权限被拒绝 Godaddy 共享主机

流数据架构

Linux学习-keepalived+nginx+Tomcat+redis实现高可用和Session共享