redis未授权漏洞

EMT009232023-09-22 12:25

redis未授权漏洞是什么?

Redis 默认情况下会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取 Redis的数据

它有什么危害?

1)通过 Redis的INFO 命令,可以查看服务器相关的参数和敏感信息,为攻击者的后续渗透做铺垫

2)上传SSH公钥获得SSH登录权限

3)通过 crontab 反弹shell

4)slave主从模式利用

如何防御?

  • 修改默认端口:修改redis.conf文件
  • 增加redis访问密码
  • 限制redis访问:修改redis.conf文件
  • 以低权限运行 Redis 服务

修改redis数据库的默认端口、给数据库添加密码或修改redis.conf文件、只允许本机的IP访问redis数据库,都可以防御该漏洞。

相关推荐
不羁。。25 分钟前
【撸靶笔记】第八关:GET - Blind - Boolian Based - Single Quotes
数据库·sql·mybatis
AwhiteV1 小时前
利用图数据库高效解决 Text2sql 任务中表结构复杂时占用过多大模型上下文的问题
数据库·人工智能·自然语言处理·oracle·大模型·text2sql
m0_595199851 小时前
Redis(以Django为例,含具体操作步骤)
数据库·redis·缓存
爱尚你19932 小时前
MySQL 三大日志:redo log、undo log、binlog 详解
数据库·mysql
秃了也弱了。2 小时前
Redisson3.14.1及之后连接阿里云redis代理模式,使用分布式锁:ERR unknown command ‘WAIT‘
redis·阿里云·代理模式
染翰2 小时前
lua入门以及在Redis中的应用
开发语言·redis·lua
小猿姐3 小时前
KubeBlocks AI:AI时代的云原生数据库运维探索
数据库·人工智能·云原生·kubeblocks
NocoBase4 小时前
10 个开源工具,快速构建数据应用
数据库·低代码·开源
麻辣清汤5 小时前
结合BI多维度异常分析(日期-> 商家/渠道->日期(商家/渠道))
数据库·python·sql·finebi
Kan先生6 小时前
对象存储解决方案:MinIO 的架构与代码实战
数据库·python
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03KGG转MP3工具|非KGM文件|解密音频04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)07Claude Code VSCode集成开发指南:AI编程助手完整配置08Spring 调试终于不再痛苦了092025最新国内服务器可用docker源仓库地址大全(2025年8月更新)10【大模型实战篇】部署GPT-OSS-120B踩得坑(vllm / ollama等推理框架)