Apakah normal jika saya melihat data Redis lain tentang shared hosting? [Tutup]

40

Layanan Redis tersedia di hosting saya, dan jika saya menghubungkannya dengan uang, itu hanya tersedia untuk saya, karena Redis naik dalam wadah buruh pelabuhan yang terpisah.

Tetapi, jika saya mematikannya, maka Redis masih dapat digunakan secara gratis, meskipun server-lebar. Dan di sini saya terhubung ke Redis di seluruh server:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Dan saya melihat ada sekitar 300.000 catatan situs orang lain.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Dan saya dapat mengubah setiap record! Seperti ini:

$redis->set($allKeys[10000], 0);

Artinya, seseorang menggunakan Redis di seluruh server dan saya percaya bahwa pengguna tidak mengetahui ketersediaan data publik untuk mereka. Dia baru saja mengaktifkan kotak centang "Gunakan Redis" di suatu tempat di WordPress.

Dan pertanyaannya adalah: apakah penyedia hosting bertanggung jawab untuk ini? Setelah semua, pengguna biasa percaya bahwa datanya disimpan hanya di server dan hanya tersedia untuknya.

Tanggapan dukungan teknis adalah: semuanya baik-baik saja.

Tapi saya rasa tidak, jadi saya bertanya.

php  redis 
Дмитрий Паймуллин
sumber
5
Berpotensi hanya DB Anda sendiri yang diekspos dan sekarang sedang digunakan oleh orang lain (seperti hosting situs rahasia / berbahaya) ... Saya pernah mengalami hal ini ketika secara tidak sengaja meninggalkan pengujian (non-produksi, tidak ada data nyata / penggunaan) redis server terpapar di internet. Kembali dalam beberapa hari untuk menemukannya penuh dengan data orang lain.
Mike Graf

Jawaban:

25

Penyedia hosting ini bertanggung jawab atas pelanggaran keamanan. Mengingat sepuluh besar risiko keamanan aplikasi Web OWASP, ini adalah beberapa risiko keamanan: Broken Authentication, Exposure Data Exposure, dan Broken Access Control.

Apa langkah Anda selanjutnya terserah Anda. Anda harus memberi tahu penyedia hosting, pengguna harus diberi tahu oleh penyedia hosting untuk kemungkinan pelanggaran data. Ini adalah masalah keamanan dan hukum yang sangat serius karena kemungkinan data pribadi seseorang dapat diakses oleh pengguna lain.

Lihat: https://owasp.org/www-project-top-ten/

Nikola Kirincic
sumber
4
Tanggapan dukungan teknis adalah: semuanya baik-baik saja.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, jika Anda dapat mengakses beberapa data pengguna lain, maka pengguna lain juga dapat mengakses data Anda. Itu tidak aman, dan Anda harus mempertimbangkan menggunakan penyedia hosting ini sama sekali.
Nikola Kirincic
@NikolaKirincic Anda harus menyisipkan notsebelumnya consider.
Erkin Alp Güney
@NikolaKirincic Suatu hal yang penting untuk diingat di sini, adalah jika itu tidak diiklankan sebagai pribadi, memang saya tidak berpikir saya akan menggunakan hal seperti ini, tetapi jika fungsinya dirancang dan dirancang sebagai ruang bersama, itu bukan pelanggaran keamanan.
Bruce Burge
5

Saya bekerja di web hosting. Ini tidak benar dan berarti mereka memiliki masalah serius di tangan mereka! Mintalah manajer atau penyelia. Jika itu tidak berhasil, MOVE.

Dari apa yang Anda jelaskan, mereka memiliki pengguna virtual untuk pengguna Redis yang membayarnya. Alih-alih menonaktifkannya untuk orang lain, mereka tampaknya memungkinkan semua orang untuk mengakses kumpulan bersama yang sama, menyebabkan pelanggaran keamanan yang telah Anda jelaskan.

Ryan Flowers
sumber
1
Hai - jawaban Anda akan lebih konstruktif dengan penjelasan mengapa.
Howard E
Terima kasih untuk sarannya. Saya telah mengedit balasan awal saya.
Ryan Flowers
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.