Có phải là bình thường khi tôi thấy dữ liệu Redis của người khác trên lưu trữ được chia sẻ? [đóng cửa]

40

Dịch vụ Redis có sẵn trên máy chủ của tôi và nếu tôi kết nối nó để kiếm tiền, thì nó chỉ khả dụng cho tôi, vì Redis tăng trong một container riêng.

Nhưng, nếu tôi tắt nó, thì Redis vẫn có thể được sử dụng miễn phí, mặc dù toàn máy chủ. Và ở đây tôi đang kết nối với Redis trên toàn máy chủ:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Và tôi thấy có khoảng 300.000 hồ sơ của các trang web của người khác.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Và tôi có thể thay đổi mọi kỷ lục! Như thế này:

$redis->set($allKeys[10000], 0);

Đó là, ai đó sử dụng Redis trên toàn máy chủ và tôi tin rằng người dùng không biết về tính khả dụng của dữ liệu của họ. Anh ta chỉ bật hộp kiểm "Sử dụng Redis" ở đâu đó trong WordPress.

Và câu hỏi là: nhà cung cấp dịch vụ lưu trữ có chịu trách nhiệm cho việc này không? Rốt cuộc, một người dùng bình thường tin rằng dữ liệu của anh ta chỉ được lưu trữ trên máy chủ của anh ta và chỉ có sẵn cho anh ta.

Các phản ứng hỗ trợ kỹ thuật là: mọi thứ đều ổn.

Nhưng tôi không nghĩ vậy, nên tôi hỏi.

php  redis 
Làm thế nào để làm gì đó
nguồn
5
Có khả năng chỉ là DB của riêng bạn bị lộ và hiện đang được người khác sử dụng (chẳng hạn như lưu trữ trang web bí mật / độc hại) ... Tôi đã xảy ra điều này một lần khi vô tình để lại một thử nghiệm (không sản xuất, không sử dụng dữ liệu thực / sử dụng) máy chủ tiếp xúc trên internet. Trở lại sau một vài ngày để thấy nó chứa đầy dữ liệu của người khác.
Mike Graf

Câu trả lời:

25

Nhà cung cấp dịch vụ lưu trữ này chịu trách nhiệm cho việc vi phạm an ninh. Xem xét mười rủi ro bảo mật ứng dụng Web hàng đầu của OWASP, đây là vấn đề của một số rủi ro bảo mật: Xác thực bị hỏng, Tiếp xúc dữ liệu nhạy cảm và Kiểm soát truy cập bị hỏng.

Bước tiếp theo của bạn là gì tùy thuộc vào bạn. Bạn nên thông báo cho nhà cung cấp dịch vụ lưu trữ, người dùng nên được nhà cung cấp dịch vụ lưu trữ thông báo về việc vi phạm dữ liệu có thể xảy ra. Đây là một vấn đề pháp lý và bảo mật rất nghiêm trọng vì người dùng có thể truy cập dữ liệu riêng tư của ai đó.

Xem: https://owasp.org/www-project-top-ten/

Nikola Kirincic
nguồn
4
Các phản ứng hỗ trợ kỹ thuật là: mọi thứ đều ổn.
Tôi đã làm
15
Nếu bạn có thể truy cập một số dữ liệu của người dùng khác, thì người dùng khác cũng có thể truy cập dữ liệu của bạn. Điều đó không an toàn và bạn nên cân nhắc sử dụng nhà cung cấp dịch vụ lưu trữ này.
Nikola Kirincic
@NikolaKirincic Bạn cần chèn nottrước consider.
Erkin Alp Güney
@NikolaKirincic Một điều quan trọng cần nhớ ở đây, là nếu nó không được quảng cáo là riêng tư, thì tôi không nghĩ mình sẽ sử dụng bất cứ thứ gì như thế này, nhưng nếu chức năng của nó được thiết kế và thiết kế như một không gian chung, thì đó không phải là vi phạm an ninh.
Bruce Burge
5

Tôi làm việc trong lĩnh vực lưu trữ web. Điều này là không chính xác và có nghĩa là họ có một vấn đề nghiêm trọng trên tay của họ! Yêu cầu một người quản lý hoặc người giám sát. Nếu điều đó không đi đến đâu, hãy di chuyển.

Từ những gì bạn mô tả, họ có người dùng ảo cho người dùng Redis trả tiền cho nó. Thay vì vô hiệu hóa nó cho những người khác, họ dường như cho phép mọi người truy cập vào cùng một nhóm chung, gây ra vi phạm an ninh mà bạn đã mô tả.

Hoa Ryan
nguồn
1
Xin chào - câu trả lời của bạn sẽ mang tính xây dựng hơn với một số giải thích về lý do tại sao.
Howard E
Cám ơn vì sự gợi ý. Tôi đã chỉnh sửa trả lời ban đầu của tôi.
Ryan Hoa
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.