Czy to normalne, że widzę dane Redis innych osób na hostingu współdzielonym? [Zamknięte]

40

Usługa Redis jest dostępna na moim serwerze, a jeśli podłączę ją za pieniądze, będzie ona dostępna tylko dla mnie, ponieważ Redis wznosi się w osobnym kontenerze dokera.

Ale jeśli ją wyłączę, to Redis nadal będzie można używać za darmo, chociaż na całym serwerze. I tutaj łączę się z serwerem Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Widzę tam około 300 000 rekordów witryn innych osób.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

I mogę zmienić każdy rekord! Lubię to:

$redis->set($allKeys[10000], 0);

Oznacza to, że ktoś korzysta z serwera Redis na całym serwerze i uważam, że użytkownik nie jest świadomy publicznej dostępności swoich danych. Właśnie zaznaczył pole wyboru „Użyj Redis” gdzieś w WordPress.

A pytanie brzmi: czy dostawca hostingu jest za to odpowiedzialny? W końcu zwykły użytkownik uważa, że ​​jego dane są przechowywane tylko na jego serwerze i są dostępne tylko dla niego.

Odpowiedź wsparcia technicznego brzmiała: wszystko jest w porządku.

Ale nie sądzę, więc pytam.

php redis Дмитрий Паймуллин
źródło
5
Potencjalnie to tylko ujawnienie własnego DB i wykorzystanie go przez kogoś innego (np. Hosting ukrytej / złośliwej strony) ... Zdarzyło mi się to raz, gdy przypadkowo opuściłem testowanie (nieprodukcyjne, brak rzeczywistych danych / użycia) redis serwer udostępniony w Internecie. Wróciłem za kilka dni, by znaleźć pełne danych innych osób.
Mike Graf

Odpowiedzi:

25

Ten dostawca hostingu jest odpowiedzialny za naruszenie bezpieczeństwa. Biorąc pod uwagę dziesięć najważniejszych zagrożeń bezpieczeństwa aplikacji internetowych OWASP, jest to kwestia kilku zagrożeń bezpieczeństwa: zepsute uwierzytelnianie, wrażliwe ujawnianie danych i zepsuta kontrola dostępu.

Jaki jest twój następny krok? Należy poinformować dostawcę usług hostingowych, użytkownik powinien zostać poinformowany przez dostawcę usług hostingowych o możliwym naruszeniu danych. Jest to bardzo poważna kwestia bezpieczeństwa i prawa, ponieważ czyjeś prywatne dane są dostępne dla innych użytkowników.

Zobacz: https://owasp.org/www-project-top-ten/

Nikola Kirincic
źródło
4
Odpowiedź wsparcia technicznego brzmiała: wszystko jest w porządku.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, jeśli możesz uzyskać dostęp do danych innego użytkownika, to drugi użytkownik może również uzyskać dostęp do twoich danych. To nie jest bezpieczne i powinieneś w ogóle rozważyć skorzystanie z tego dostawcy hostingu.
Nikola Kirincic
@NikolaKirincic Musisz wstawić notwcześniej consider.
Erkin Alp Güney
@NikolaKirincic Ważną rzeczą do zapamiętania tutaj jest to, że jeśli nie jest reklamowany jako prywatny, oczywiście nie sądzę, że skorzystałbym z czegoś takiego, ale jeśli funkcjonuje jako zaprojektowany i zaprojektowany jako przestrzeń wspólna, to nie jest naruszenia bezpieczeństwa.
Bruce Burge
5

Pracuję w hostingu. To nie jest poprawne i oznacza, że ​​mają poważny problem na rękach! Zapytaj o kierownika lub przełożonego. Jeśli to nie pomoże, MOVE.

Z tego, co opisałeś, mają oni wirtualnych użytkowników dla użytkowników Redis, którzy za to płacą. Wydaje się, że zamiast wyłączać go dla wszystkich innych, umożliwia wszystkim dostęp do tej samej współużytkowanej puli, powodując opisane przez Ciebie naruszenie bezpieczeństwa.

Ryan Flowers
źródło
1
Cześć - Twoja odpowiedź byłaby bardziej konstruktywna z wyjaśnieniem dlaczego.
Howard E
Dzieki za sugestie. Zredagowałem swoją pierwszą odpowiedź.
Ryan Flowers