【发布时间】:2020-06-14 01:56:36
【问题描述】:
Redis 服务在我的主机上可用,如果我连接它是为了钱,它只对我可用,因为 Redis 在一个单独的 docker 容器中上升。
但是,如果我将其关闭,那么 Redis 仍然可以免费使用,尽管是在服务器范围内。在这里我连接到服务器范围的 Redis:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
我在那里看到了大约 300,000 条其他人网站的记录。
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
而且我可以更改每条记录!像这样:
$redis->set($allKeys[10000], 0);
也就是说,有人使用服务器范围的 Redis,我相信用户并不知道他们的数据是公开的。他刚刚在 WordPress 某处打开了“使用 Redis”复选框。
问题是:托管服务提供商是否对此负责?毕竟,普通用户认为他的数据只存储在他的服务器上,并且只有他自己可以使用。
技术支持的回应是:一切正常。
但我不这么认为,所以我问。
【问题讨论】:
-
可能只是您自己的数据库被暴露并且现在被其他人使用(例如托管一个隐蔽/恶意站点)......我曾经在意外离开测试时发生过这种情况(非生产, 没有真实的数据/使用) 暴露在互联网上的 redis 服务器。过几天回来发现里面全是别人的数据。