程序员经验分享-hwhale

redis未授权漏洞

2023-11-09

redis未授权漏洞是什么?

Redis 默认情况下会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取 Redis的数据

它有什么危害?

1)通过 Redis的INFO 命令,可以查看服务器相关的参数和敏感信息,为攻击者的后续渗透做铺垫

2)上传SSH公钥获得SSH登录权限

3)通过 crontab 反弹shell

4)slave主从模式利用

如何防御?

  • 修改默认端口:修改redis.conf文件
  • 增加redis访问密码
  • 限制redis访问:修改redis.conf文件
  • 以低权限运行 Redis 服务

修改redis数据库的默认端口、给数据库添加密码或修改redis.conf文件、只允许本机的IP访问redis数据库,都可以防御该漏洞。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

网安面试宝典

Redis

数据库

缓存

漏洞

redis未授权漏洞 的相关文章

  • Redis+Docker+Django - 错误 111 连接被拒绝

    我正在尝试使用 Redis 作为使用 Docker Compose 的 Django 项目的 Celery 代理 我无法弄清楚我到底做错了什么 但尽管控制台日志消息告诉我 Redis 正在运行并接受连接 事实上 当我这样做时 docker

  • 在 Spring 4 中干掉通用的 RedisTemplate

    我读到你可以拥有 Autowired从 Spring 4 开始泛型 这太棒了 我有一个摘要RedisService我想参加的课程 Autowired一个通用的 RestTemplate 如下所示 public abstract class

  • 如何延长 django-redis 中的缓存 ttl(生存时间)?

    我正在使用 django 1 5 4 和 django redis 3 7 1 我想延长缓存的 ttl 生存时间 当我取回它时 这是示例代码 from django core cache import cache foo cache get

  • 如何配置Lettuce Redis集群异步连接池

    我正在配置我的生菜重新分配池 当我按照官方文档配置时 连接池无法正常初始化 无法获取连接 官方文档指出 RedisClusterClient clusterClient RedisClusterClient create RedisURI

  • Redis 中存储整数和字符串的区别

    这两个命令有什么区别吗 LPUSH myset 123 LPUSH myset 123 我想存储大约 500 万个整数 并且我想以最有效的方式做到这一点 不 没有什么区别 两者都存储为字符串 从redis io http redis io

  • 为什么单个 Redis 实例不是线程安全的?

    https github com xetorthio jedis wiki Getting started https github com xetorthio jedis wiki Getting started 在多线程环境中使用Jed

  • Redis 在键过期时更新排序集

    我有一个 Redis 服务器 其中包含一组键值对和一个排序集 提供这些键值对的键的索引 键值对可以进入 已完成 状态 此时需要在 1 小时后删除它们 这可以通过在键上设置到期时间来简单地实现 但从排序集中清除它们似乎更成问题 我可以有一个过

  • 使用 Redis 中的键

    我是 Redis 和键值数据库的新手 你能告诉我如何在redis中正确实现这种关系方法吗 我有一个关系表 其中两个键对应一个值 master id slave id 价值 Example 主站 ID 从属ID 价值 1 1 值1 2 1 值

  • 批量将Dictionary中的数据设置到Redis中

    我正在使用 StackExchange Redis DB 插入键值对字典Batch如下 private static StackExchange Redis IDatabase database public void SetAll

  • ServiceStack PooledRedisClientManager 故障转移如何工作?

    根据 git commit 消息 ServiceStack 最近添加了故障转移支持 我最初认为这意味着我可以关闭我的一个 Redis 实例 并且我的池客户端管理器将优雅地处理故障转移并尝试与我的备用 Redis 实例之一连接 不幸的是 我的

  • Redis - 错误:值不是有效的浮点数

    我在 Redis 中有一个排序集 我试图通过在Python代码中使用zincrby来更新特定元素的计数器值 例如 conn zincrby usersSet float 1 user1 但它显示错误为 错误 值不是有效的浮点数 我在 cli

  • 如何在Redis中使用HSCAN命令?

    我想在我的作业中使用 Redis 的 HSCAN 命令 但我不知道它是如何工作的 Redis 的官方页面 http redis io commands hscan http redis io commands hscan 这个命令给了我空白

  • 执行 SET {Key} 超时,inst: 0,mgr: Inactive,queue: 2, qu=1, qs=1, qc=0, wr=1/1, in=0/0

    我正在尝试使用 StackExchange Redis 客户端将 90 KB pdf 文件保存到 Azure Redis 缓存中 我已将该文件转换为字节数组并尝试使用 stringSet 方法保存它并收到错误 Code byte bytes

  • 如何按键中的值对 Redis 哈希进行排序

    Redis 有没有一种好方法来获取按值排序的哈希中的键 我查看了文档 但没有找到直接的方法 另外有人可以解释一下redis中的排序是如何实现的 以及什么吗 本文档 http redis io commands SORT using hash

  • 使用 MongoDB 作为我们的主数据库,我应该使用单独的图数据库来实现实体之间的关系吗?

    我们目前正在为一家专业公司内部实施类似 CRM 的解决方案 由于存储信息的性质以及信息的不同值和键 我们决定使用文档存储数据库 因为它完全适合目的 在本例中我们选择 MongoDB 作为此 CRM 解决方案的一部分 我们希望存储实体之间的关

  • 如何让 Redis 在 Heroku 上启动?

    我已经添加了RedistogoHeroku 上的 nano 插件 我已经在控制台中成功测试了它 但是 当我的应用程序尝试连接 Redis 时 出现以下错误 Heroku 日志文件 2011 10 12T08 19 50 00 00 app

  • 将redis数据移至MySQL的更快方法

    我们拥有庞大的购物和产品交易系统 我们在 MySQL 方面遇到了很多问题 因此经过几次研发后 我们计划使用 Redis 并开始将 Redis 集成到我们的系统中 继之前直接访问数据库之后 现在我们已经移动了Redis系统 用户购物车详情 关

  • 从 Laravel 中的命令调用控制器方法

    我有一个通过 Redis Pub Sub 监听的命令 收到发布后 我想调用控制器方法 以便可以更新数据库 但是 我无法找到任何关于如何从项目内部但在路由外部调用带有参数的控制器方法的解决方案 我见过的最接近的东西是这样的 return re

  • 如何在任何 MQ 平台上实现这个单一并发分布式队列?

    我目前正在努力寻找实现特定类型队列的解决方案 这需要以下特征 所有队列必须遵守作业添加的顺序 整个队列的并发度为1 这意味着每个队列一次只会执行一个作业queue 不是工人 像这样排队的人会超过几千人 它需要分布式并且能够扩展 例如 如果我

  • lua找不到模块插座

    我正在尝试使用 lua 从 nginx 访问 redis 值 当我在命令行上执行 lua 文件时 一切正常 我可以读取值并将值写入 redis 但是当我尝试通过访问写入 access by lua 指令的位置来从 nginx 执行相同的文件

随机推荐

  • a*算法的优缺点_轻松理解机器学习算法-朴素贝叶斯

    1 预备知识 贝叶斯定理 Bayes theorem 是概率论中的一个定理 它跟随机变量的条件概率以及边缘概率分布有关 通常事件A在事件B发生的条件下的概率 与事件B在事件A发生的条件下的概率是不一样的 然而这两种是有确定关系的 这种关系就

  • ASP.NET Core 简介

    NET Core 是 NET Framework 的新一代版本 是微软开发的第一个具有跨平台 Windows Mac OSX Linux 能力的应用程序开发框 ASP NET Core 是 Microsoft 新开发的 基于 NET Cor

  • JSON

    数据提取之JSON与JsonPATH JSON JavaScript Object Notation 是一种轻量级的数据交换格式 它使得人们很容易的进行阅读和编写 同时也方便了机器进行解析和生成 适用于进行数据交互的场景 比如网站前台与后台

  • 20181220_eglSwapBuffers详解

    eglSwapBuffers详解 问题来自eglSwapBuffers是否有等待 如果调用eglSwapBuffers的话 是不是会导致帧率下降 2 7 1 BootAnimation中的调用 之所以需要了解这个api的具体实现 因为我们需

  • 标准DH建模与改进DH建模(二)—— 什么是改进DH法以及为什么要学?

    学习机器人建模并不是一个愉快的过程 不愉快的一个重要原因就是 建模得到的方程又臭又长 仅仅是计算一次也许都要花不少时间 更不要说除了正逆运动学方程 你还要需要动力学方程 甚至动力学参数标定方程 当你掌握了DH建模方法后 你会陷入短暂的满足感

  • Python APP自动化测试详解

    一 App自动化测试简介 随着移动互联网的发展 越来越多的App产品应运而生 很多公司除了Web产品外还研发了相应的手机App产品 一些公司的主营业务甚至就是App 测试工程师也需要掌握一定的App端测试技能 从而让自己从烦琐 重复的 点点

  • HTTP Status 500 - An exception occurred processing JSP page /WEB-INF

    HTTP Status 500 An exception occurred processing JSP page WEB INF test showCountry jsp at line 11type Exception reportme

  • 支付宝同步跳转和异步通知简要介绍

    支付宝同步跳转和异步通知简要介绍 同步跳转文件 return url php 异步通知文件 notify url php 用户支付完之后会直接执行return url php 只执行一次 我们在这个文件里写的代码用于修改数据库订单状态 改为

  • 史上最简单Robotium跨进程操作实践——基于ADB框架

    楼主原创 分享不易 转载请注明出处 谢谢 2015年2月3日更新 有些朋友在用真机尝试本方法时 抛出了InputStream cannot be null的异常 该异常是由于adb运行在robotium框架中时 是完全运行在手机中的 此时它

  • SFTP文件上传下载

    http www cnblogs com longyg archive 2012 06 25 2556576 html 转载 转载于 https www cnblogs com sunfb p 4330324 html

  • 将一个TXT文件里面数据读出 ,进行数据去重处理 ,写入文件

    总的来说 分为三个模块 读文件模块 处理数据 写入文件 中间有如何创建文件 public class EG Reader 主方法 public static void main String args String filePath C U

  • JS中this.x= x

    今天看代码的时候发现了如上图的一个写法 虽然大致猜测到了其 的用法 但还是在网上求证了一下 那么JS中this x x 0的 是什么意思呢 在 js 中 这相当于一个赋值语句 只要 x 的值不返回为 false 那么就把 x 的值赋值给th

  • 解决安装Ubuntu &Debian ,安装界面黑屏或者只显示一个短白线问题

    AMI BIOS 可以关闭8254 Clock Gating 在重新安装 路径 Chipset South Cluster Configuration Miscellaneous Configuration 8254 Clock Gatin

  • 无线通信原理期末复习提纲

    文章目录 无线通信原理期末复习提纲 一 名词解释 1 同频再用距离 2 多径效应 3 多普勒效应 4 区群 5 越区切换 6 OFDMA 7 OFDM 8 TDMA 9 FDD 10 CSMA 二 简答题与计算 第一章 1 蜂窝网基本原理

  • 查成语--每天10行python代码系列!

    在爬取成语2 每天10行python代码系列一文中爬取了该网站收录的所有成语 并写入了sqlite数据库 数据存储的格式为每条记录存储一个成语以及成语的拼音 释义 出处和示例 这里实现了在命令行查询成语的功能 查询时通过 blur开关指定是

  • 【STM32标准库】【基础知识】程序烧录

    文章目录 开发板和烧录器 USB烧录 1 安装STM32CubeProgrammer 2 生成HEX文件 3 选择烧录模式 4 进入ISP模式 5 设置软件烧录 STLINK烧录 1 驱动下载 2 电路连接 3 Keil设置 4 烧录 ke

  • thingsboard 服务器mqtt设备过一段时间会自己断开,断开之后就不能发消息了QoS=2

    使用things board最新社区版 MQTT为V3 1 使用MQTT设备连接后能正常发布与订阅 但是一段时间后发现设备就不能再发布消息了 客户端也没有显示连接断开 检查后发现是客户端设备使用的消息可靠性QoS 2 修改客户端设备的发布Q

  • 素数打表,复杂度(Onlogn)和O(n)(对与10^7来说线性快两倍) + 分解质因数

    代码 接口 primeInit 100000 打表的范围 素数存在primeList中 个数为primeCount typedef long long LL int const MAXN 10000100 bool isPrime MAXN

  • sqoop job 定时实现增量、全量导入Hive

    本人使用工具 Windows 和 虚拟机链接的工具为 MobaXterm Windows链接数据库工具 Navicat 本人的数据库字段为 sqoop 实现全量导入执行的语句为 sqoop import connect jdbc mysql

  • redis未授权漏洞

    redis未授权漏洞是什么 Redis 默认情况下会绑定在 0 0 0 0 6379 这样将会将 Redis 服务暴露到公网上 如果在没有开启认证的情况下 可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取 Redis

热门标签