红色挣扎权力受挫的Redis之殇（redis没权限）

近日，最流行的内存缓存数据库之一Redis的安全漏洞引起了关注。通过一个跨站点请求伪造（csrf）攻击，攻击者可以在未经身份验证的情况下轻易地修改或删除Redis的关键数据。此次漏洞的被称为“Redis之殇”，给Redis权力带来了沉重的打击。本文将深入探究该漏洞的原因和防范方法。

企业建站必须是能够以充分展现企业形象为主要目的，是企业文化与产品对外扩展宣传的重要窗口，一个合格的网站不仅仅能为公司带来巨大的互联网上的收集和信息发布平台，创新互联建站面向各种领域：成都报废汽车回收等成都网站设计、营销型网站建设解决方案、网站设计等建站排名服务。

Redis是一个开源的内存缓存数据库，由意大利程序员Salvatore Sanfilippo创建。它支持网络、可编程、可持久化、集群、高可用性等诸多特性。Redis具有很高的读写效率和稳定性，受到了程序员和企业的喜爱。但是，Redis并非完美无缺。

最近发现，Redis存在一个安全漏洞，该漏洞允许黑客通过跨站点请求伪造（CSRF）攻击来伪造身份，进而修改或删除Redis的关键数据。CSRF是一个广为人知的安全漏洞，攻击者会利用已控制的用户会话来执行未经授权的操作。攻击者可以向受害者发送欺骗性的链接或将钓鱼代码插入受害者经常访问的网站，当用户访问该网站时，攻击者就可以执行恶意操作。

发现这个Redis安全漏洞的漏洞猎人报告称，攻击者可以利用Redis的CONFIG命令修改服务器配置，并用该用户的权限来操纵数据。攻击者可以轻松地通过向受害者发送带有恶意代码的链接来利用此漏洞。如果受害者使用了志愿者或默认密码，那么攻击者就可以掌控Redis和存储其中的数据。

如何防范Redis CSRF攻击？专家认为，redis服务应该在一个受控环境中运行，并保证访问受限。应该将其安装到非默认文件夹中，并严格限制对其文件访问的权限。此外，在使用Redis之前应该对其配置进行全面审查，并不要将其直接暴露在互联网上。

此次Redis的安全漏洞引起了人们对Redis的安全性的担忧，同时也引起了程序员们对于Web应用程序和数据库的安全性的重视。Redis虽然备受青睐，但在使用过程中一定要严格遵循安全措施，否则可能会带来灾难性的后果。要将互联网安全放在首位，保护好自己的数据和隐私。

以下是一份Redsi安全补丁：

def check_csrf(self, redis_url):
    """
    CSRF vulnerability checker
    """
    # Generate random csrf_token
    csrf_token = uuid.uuid4().hex
    # Prepare redis command with csrf_token. Any redis command can be sent with this token
    redis_command = "config set dbfilename %s; ping" % csrf_token

    # Prepare headers for redis command injection
    headers = {"Referer": "http://evil.com",
               "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"}

    # Send redis command with csrf_token
    r = requests.get(redis_url + "?cmd=" + redis_command, headers=headers)
    r.close()

    # Check if csrf_token exists in redis keyspace. If it does - check is positive
    r = requests.get(redis_url + "?cmd=keys *", headers=headers)
    if csrf_token.encode() in r.content:
        return True
    r.close()
    return False

以上是一段Python代码，可以用于检查Redis CSRF漏洞的存在。如果返回True，则存在CSRF漏洞，反之则不存在。

创新互联服务器托管拥有成都T3+级标准机房资源，具备完善的安防设施、三线及BGP网络接入带宽达10T，机柜接入千兆交换机，能够有效保证服务器托管业务安全、可靠、稳定、高效运行；创新互联专注于成都服务器托管租用十余年，得到成都等地区行业客户的一致认可。

文章题目：红色挣扎权力受挫的Redis之殇（redis没权限）
分享链接：http://www.csdahua.cn/qtweb/news4/544754.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网