Der Redis-Dienst ist auf meinem Hosting verfügbar, und wenn ich ihn für Geld verbinde, ist er nur für mich verfügbar, da Redis in einem separaten Docker-Container aufsteigt.
Aber wenn ich es ausschalte, kann Redis immer noch kostenlos verwendet werden, obwohl es serverweit ist. Und hier verbinde ich mich mit dem serverweiten Redis:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
Und ich sehe dort ungefähr 300.000 Aufzeichnungen von Websites anderer Leute.
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
Und ich kann jeden Rekord ändern! So was:
$redis->set($allKeys[10000], 0);
Das heißt, jemand verwendet die serverweiten Redis und ich glaube, dass der Benutzer die öffentliche Verfügbarkeit seiner Daten nicht kennt. Er hat gerade das Kontrollkästchen "Redis verwenden" irgendwo in WordPress aktiviert.
Und die Frage ist: Ist der Hosting-Anbieter dafür verantwortlich? Schließlich glaubt ein gewöhnlicher Benutzer, dass seine Daten nur auf seinem Server gespeichert sind und nur ihm zur Verfügung stehen.
Die Antwort des technischen Supports lautete: Alles ist in Ordnung.
Aber ich denke nicht, also frage ich.
Antworten:
Dieser Hosting-Anbieter ist für die Sicherheitsverletzung verantwortlich. In Anbetracht der zehn wichtigsten Sicherheitsrisiken von OWASP für Webanwendungen ist dies ein Problem mit wenigen Sicherheitsrisiken: Broken Authentication, Sensitive Data Exposure und Broken Access Control.
Was Ihr nächster Schritt ist, liegt bei Ihnen. Sie sollten den Hosting-Anbieter informieren, Benutzer sollten vom Hosting-Anbieter über mögliche Datenverletzungen informiert werden. Dies ist eine sehr ernste Sicherheits- und Rechtssache, da die möglicherweise privaten Daten einer Person anderen Benutzern zugänglich sind.
Siehe: https://owasp.org/www-project-top-ten/
quelle
not
vorher einfügenconsider
.Ich arbeite im Webhosting. Dies ist nicht korrekt und bedeutet, dass sie ein ernstes Problem haben! Fragen Sie nach einem Manager oder Vorgesetzten. Wenn das nirgendwo hin führt, BEWEGEN.
Nach dem, was Sie beschrieben haben, haben sie virtuelle Benutzer für Redis-Benutzer, die dafür bezahlen. Anstatt es für alle anderen zu deaktivieren, scheinen sie allen den Zugriff auf denselben gemeinsam genutzten Pool zu ermöglichen, was zu der von Ihnen beschriebenen Sicherheitsverletzung führt.
quelle