天域苍穹,欢乐颂小说,欢乐颂小说结局

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

紅色掙扎權(quán)力受挫的Redis之殤（redis沒權(quán)限）

近日，最流行的內(nèi)存緩存數(shù)據(jù)庫之一Redis的安全漏洞引起了關(guān)注。通過一個跨站點請求偽造（csrf）攻擊，攻擊者可以在未經(jīng)身份驗證的情況下輕易地修改或刪除Redis的關(guān)鍵數(shù)據(jù)。此次漏洞的被稱為“Redis之殤”，給Redis權(quán)力帶來了沉重的打擊。本文將深入探究該漏洞的原因和防范方法。

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對外擴(kuò)展宣傳的重要窗口，一個合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺，創(chuàng)新互聯(lián)建站面向各種領(lǐng)域：成都報廢汽車回收等成都網(wǎng)站設(shè)計、營銷型網(wǎng)站建設(shè)解決方案、網(wǎng)站設(shè)計等建站排名服務(wù)。

Redis是一個開源的內(nèi)存緩存數(shù)據(jù)庫，由意大利程序員Salvatore Sanfilippo創(chuàng)建。它支持網(wǎng)絡(luò)、可編程、可持久化、集群、高可用性等諸多特性。Redis具有很高的讀寫效率和穩(wěn)定性，受到了程序員和企業(yè)的喜愛。但是，Redis并非完美無缺。

最近發(fā)現(xiàn)，Redis存在一個安全漏洞，該漏洞允許黑客通過跨站點請求偽造（CSRF）攻擊來偽造身份，進(jìn)而修改或刪除Redis的關(guān)鍵數(shù)據(jù)。CSRF是一個廣為人知的安全漏洞，攻擊者會利用已控制的用戶會話來執(zhí)行未經(jīng)授權(quán)的操作。攻擊者可以向受害者發(fā)送欺騙性的鏈接或?qū)⑨烎~代碼插入受害者經(jīng)常訪問的網(wǎng)站，當(dāng)用戶訪問該網(wǎng)站時，攻擊者就可以執(zhí)行惡意操作。

發(fā)現(xiàn)這個Redis安全漏洞的漏洞獵人報告稱，攻擊者可以利用Redis的CONFIG命令修改服務(wù)器配置，并用該用戶的權(quán)限來操縱數(shù)據(jù)。攻擊者可以輕松地通過向受害者發(fā)送帶有惡意代碼的鏈接來利用此漏洞。如果受害者使用了志愿者或默認(rèn)密碼，那么攻擊者就可以掌控Redis和存儲其中的數(shù)據(jù)。

如何防范Redis CSRF攻擊？專家認(rèn)為，redis服務(wù)應(yīng)該在一個受控環(huán)境中運行，并保證訪問受限。應(yīng)該將其安裝到非默認(rèn)文件夾中，并嚴(yán)格限制對其文件訪問的權(quán)限。此外，在使用Redis之前應(yīng)該對其配置進(jìn)行全面審查，并不要將其直接暴露在互聯(lián)網(wǎng)上。

此次Redis的安全漏洞引起了人們對Redis的安全性的擔(dān)憂，同時也引起了程序員們對于Web應(yīng)用程序和數(shù)據(jù)庫的安全性的重視。Redis雖然備受青睞，但在使用過程中一定要嚴(yán)格遵循安全措施，否則可能會帶來災(zāi)難性的后果。要將互聯(lián)網(wǎng)安全放在首位，保護(hù)好自己的數(shù)據(jù)和隱私。

以下是一份Redsi安全補?。?/p>

def check_csrf(self, redis_url):
    """
    CSRF vulnerability checker
    """
    # Generate random csrf_token
    csrf_token = uuid.uuid4().hex
    # Prepare redis command with csrf_token. Any redis command can be sent with this token
    redis_command = "config set dbfilename %s; ping" % csrf_token

    # Prepare headers for redis command injection
    headers = {"Referer": "http://evil.com",
               "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"}

    # Send redis command with csrf_token
    r = requests.get(redis_url + "?cmd=" + redis_command, headers=headers)
    r.close()

    # Check if csrf_token exists in redis keyspace. If it does - check is positive
    r = requests.get(redis_url + "?cmd=keys *", headers=headers)
    if csrf_token.encode() in r.content:
        return True
    r.close()
    return False

以上是一段Python代碼，可以用于檢查Redis CSRF漏洞的存在。如果返回True，則存在CSRF漏洞，反之則不存在。

創(chuàng)新互聯(lián)服務(wù)器托管擁有成都T3+級標(biāo)準(zhǔn)機房資源，具備完善的安防設(shè)施、三線及BGP網(wǎng)絡(luò)接入帶寬達(dá)10T，機柜接入千兆交換機，能夠有效保證服務(wù)器托管業(yè)務(wù)安全、可靠、穩(wěn)定、高效運行；創(chuàng)新互聯(lián)專注于成都服務(wù)器托管租用十余年，得到成都等地區(qū)行業(yè)客戶的一致認(rèn)可。

本文標(biāo)題：紅色掙扎權(quán)力受挫的Redis之殤（redis沒權(quán)限）
標(biāo)題網(wǎng)址：http://m.fisionsoft.com.cn/article/ccodccd.html

新聞中心

其他資訊