首页

我在共享主机上看到其他人的 Redis 数据是否正常?[已关闭]

php redis
2022-08-30 12:18:40

Redis服务在我的主机上可用,如果我用钱连接它,它只对我可用,因为Redis在一个单独的docker容器中上升。

但是,如果我关闭它,那么Redis仍然可以免费使用,尽管是服务器范围的。在这里,我连接到服务器范围的Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

我看到大约300,000条其他人网站的记录。

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

我可以改变每一条记录!喜欢这个:

$redis->set($allKeys[10000], 0);

也就是说,有人使用服务器范围的Redis,我相信用户不知道他们的数据的公开可用性。他刚刚在WordPress的某个地方打开了“Use Redis”复选框。

问题是:托管服务提供商对此负责吗?毕竟,普通用户认为他的数据仅存储在他的服务器上,并且仅对他可用。

技术支持的回应是:一切都很好。

但我不这么认为,所以我问。


答案 1

此托管服务提供商应对安全漏洞负责。考虑到OWASP的十大Web应用程序安全风险,这是一个安全风险很少的问题:身份验证中断,敏感数据泄露和访问控制中断。

您的下一步取决于您。您应该通知托管服务提供商,托管服务提供商应告知用户可能的数据泄露。这是一个非常严重的安全和法律问题,因为其他用户可以访问某人可能的私人数据。

请参见: https://owasp.org/www-project-top-ten/


答案 2

我在网络托管工作。这是不正确的,意味着他们手上有一个严重的问题!询问经理或主管。如果无处可去,请移动。

从您描述的内容来看,他们为Redis用户提供了虚拟用户,他们为此付费。它们似乎不是为其他人禁用它,而是允许每个人访问同一个共享池,从而导致您描述的安全漏洞。


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »