Redis 서비스는 내 호스팅에서 사용할 수 있으며 돈으로 연결하면 Redis가 별도의 도커 컨테이너에 들어 있기 때문에 나만 사용할 수 있습니다.
그러나 내가 끄면 Redis는 여전히 서버 전체에서 무료로 사용할 수 있습니다. 그리고 여기 서버 전체 Redis에 연결하고 있습니다.
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
그리고 다른 사람들의 사이트에 대한 약 30 만 개의 기록이 있습니다.
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
그리고 나는 모든 기록을 바꿀 수 있습니다! 이처럼 :
$redis->set($allKeys[10000], 0);
즉, 누군가 서버 전체 Redis를 사용하고 있으며 사용자가 데이터의 공개 가용성을 알지 못한다고 생각합니다. 그는 워드 프레스 어딘가에 “Use Redis”체크 박스를 켰다.
그리고 문제는 호스팅 제공 업체가 이에 대한 책임이 있습니까? 결국 일반 사용자는 자신의 데이터가 자신의 서버에만 저장되어 있고 자신 만 사용할 수 있다고 생각합니다.
기술 지원 응답은 모든 것이 정상입니다.
그러나 나는 그렇게 생각하지 않으므로 묻습니다.
답변
이 호스팅 제공 업체는 보안 위반을 담당합니다. OWASP의 10 가지 웹 응용 프로그램 보안 위험을 고려할 때 이는 인증 위험, 민감한 데이터 노출 및 액세스 제어와 같은 보안 위험이 거의없는 문제입니다.
다음 단계는 당신에게 달려 있습니다. 호스팅 제공 업체에 알려야하며, 데이터 유출 가능성에 대해 호스팅 제공 업체가 사용자에게 알려야합니다. 누군가의 개인 데이터에 다른 사용자가 액세스 할 수 있기 때문에 이는 매우 심각한 보안 및 법적 문제입니다.
참조 : https://owasp.org/www-project-top-ten/
답변
나는 웹 호스팅에서 일한다. 이것은 정확하지 않으며 손에 심각한 문제가 있음을 의미합니다! 관리자 또는 감독자를 요청하십시오. 그것이 아무데도 없다면 MOVE.
당신이 설명 한대로, 그들은 그것을 지불하는 Redis 사용자를위한 가상 사용자가 있습니다. 다른 모든 사람이이 기능을 비활성화하지 않고 모든 사람이 동일한 공유 풀에 액세스 할 수있게함으로써 설명 된 보안 위반이 발생합니다.