redis未授权漏洞

EMT009232023-09-22 12:25

redis未授权漏洞是什么?

Redis 默认情况下会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取 Redis的数据

它有什么危害?

1)通过 Redis的INFO 命令,可以查看服务器相关的参数和敏感信息,为攻击者的后续渗透做铺垫

2)上传SSH公钥获得SSH登录权限

3)通过 crontab 反弹shell

4)slave主从模式利用

如何防御?

  • 修改默认端口:修改redis.conf文件
  • 增加redis访问密码
  • 限制redis访问:修改redis.conf文件
  • 以低权限运行 Redis 服务

修改redis数据库的默认端口、给数据库添加密码或修改redis.conf文件、只允许本机的IP访问redis数据库,都可以防御该漏洞。

相关推荐
snow@li1 小时前
数据库:市场中都有哪些数据库 / 优缺点 使用情况
数据库
NoSi EFUL2 小时前
MySQL中ON DUPLICATE KEY UPDATE的介绍与使用、批量更新、存在即更新不存在则插入
android·数据库·mysql
河阿里2 小时前
SQL数据库:五大范式(NF)
数据库·sql·oracle
wuqingshun3141592 小时前
说说mybatis的缓存机制
java·缓存·mybatis
Devin~Y3 小时前
大厂Java面试实录:Spring Boot/Cloud、Kafka、Redis、K8s 与 Spring AI(RAG/Agent)三轮连环问
java·spring boot·redis·mysql·spring cloud·kafka·kubernetes
l1t3 小时前
DeepSeek总结的PostgreSQL 19查询提示功能
数据库·postgresql
chenxu98b4 小时前
MySQL如何执行.sql 文件:详细教学指南
数据库·mysql
刘晨鑫15 小时前
MongoDB数据库应用
数据库·mongodb
梦想的颜色5 小时前
mongoTemplate + Java 增删改查基础介绍
数据结构·数据库·mysql
小小小米粒6 小时前
redis命令集合
数据库·redis·缓存
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05codex app每次打开重连5次Reconnecting问题解决06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07CC-Switch & Claude 基于 Linux 服务器安装使用指南082026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free09从限购到畅通:GLM-5.1 Coding Plan接入攻略102026年AI前瞻:量子AI、具身智能与科学发现的新纪元