Ist es normal, dass ich die Redis-Daten anderer auf Shared Hosting sehe? [geschlossen]

40

Der Redis-Dienst ist auf meinem Hosting verfügbar, und wenn ich ihn für Geld verbinde, ist er nur für mich verfügbar, da Redis in einem separaten Docker-Container aufsteigt.

Aber wenn ich es ausschalte, kann Redis immer noch kostenlos verwendet werden, obwohl es serverweit ist. Und hier verbinde ich mich mit dem serverweiten Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Und ich sehe dort ungefähr 300.000 Aufzeichnungen von Websites anderer Leute.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Und ich kann jeden Rekord ändern! So was:

$redis->set($allKeys[10000], 0);

Das heißt, jemand verwendet die serverweiten Redis und ich glaube, dass der Benutzer die öffentliche Verfügbarkeit seiner Daten nicht kennt. Er hat gerade das Kontrollkästchen "Redis verwenden" irgendwo in WordPress aktiviert.

Und die Frage ist: Ist der Hosting-Anbieter dafür verantwortlich? Schließlich glaubt ein gewöhnlicher Benutzer, dass seine Daten nur auf seinem Server gespeichert sind und nur ihm zur Verfügung stehen.

Die Antwort des technischen Supports lautete: Alles ist in Ordnung.

Aber ich denke nicht, also frage ich.

Дмитрий Паймуллин
quelle
5
Möglicherweise wird nur Ihre eigene Datenbank offengelegt und jetzt von einer anderen Person verwendet (z. B. beim Hosten einer verdeckten / böswilligen Website). Ich hatte dies einmal, als versehentlich ein Test-Redis (keine Produktion, keine echten Daten / Nutzung) hinterlassen wurde Server im Internet ausgesetzt. Kam in ein paar Tagen zurück und fand es voll mit den Daten eines anderen.
Mike Graf

Antworten:

25

Dieser Hosting-Anbieter ist für die Sicherheitsverletzung verantwortlich. In Anbetracht der zehn wichtigsten Sicherheitsrisiken von OWASP für Webanwendungen ist dies ein Problem mit wenigen Sicherheitsrisiken: Broken Authentication, Sensitive Data Exposure und Broken Access Control.

Was Ihr nächster Schritt ist, liegt bei Ihnen. Sie sollten den Hosting-Anbieter informieren, Benutzer sollten vom Hosting-Anbieter über mögliche Datenverletzungen informiert werden. Dies ist eine sehr ernste Sicherheits- und Rechtssache, da die möglicherweise privaten Daten einer Person anderen Benutzern zugänglich sind.

Siehe: https://owasp.org/www-project-top-ten/

Nikola Kirincic
quelle
4
Die Antwort des technischen Supports lautete: Alles ist in Ordnung.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, wenn Sie auf die Daten eines anderen Benutzers zugreifen können, kann der andere Benutzer auch auf Ihre Daten zugreifen. Das ist nicht sicher, und Sie sollten in Betracht ziehen, diesen Hosting-Anbieter überhaupt zu verwenden.
Nikola Kirincic
@NikolaKirincic Sie müssen ein notvorher einfügen consider.
Erkin Alp Güney
@NikolaKirincic Eine wichtige Sache, an die man sich hier erinnern sollte, ist, wenn es nicht als privat beworben wird, vorausgesetzt, ich glaube nicht, dass ich so etwas nutzen würde, aber wenn es als gemeinsamer Raum entworfen und gestaltet ist, ist das kein Sicherheitsverletzung.
Bruce Burge
5

Ich arbeite im Webhosting. Dies ist nicht korrekt und bedeutet, dass sie ein ernstes Problem haben! Fragen Sie nach einem Manager oder Vorgesetzten. Wenn das nirgendwo hin führt, BEWEGEN.

Nach dem, was Sie beschrieben haben, haben sie virtuelle Benutzer für Redis-Benutzer, die dafür bezahlen. Anstatt es für alle anderen zu deaktivieren, scheinen sie allen den Zugriff auf denselben gemeinsam genutzten Pool zu ermöglichen, was zu der von Ihnen beschriebenen Sicherheitsverletzung führt.

Ryan Flowers
quelle
1
Hallo - Ihre Antwort wäre konstruktiver mit einer Erklärung, warum.
Howard E
Danke für den Vorschlag. Ich habe meine erste Antwort bearbeitet.
Ryan Flowers