共有ホスティングで他人のRedisデータが表示されるのは正常ですか?[閉まっている]


40

私のホスティングではRedisサービスを利用できますが、お金で接続すると、Redisが別のDockerコンテナーで上昇するため、私だけが利用できます。

ただし、オフにすると、サーバー全体ではありますが、Redisは引き続き無料で使用できます。そして、ここではサーバー全体のRedisに接続しています。

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

また、他の人のサイトの記録が約30万件あります。

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

そして、私はすべての記録を変えることができます!このような:

$redis->set($allKeys[10000], 0);

つまり、誰かがサーバー全体のRedisを使用しており、ユーザーは自分のデータが公開されていることを認識していないと思います。彼はWordPressのどこかにある「Use Redis」チェックボックスをオンにしただけです。

そして問題は、ホスティングプロバイダーがこれに責任があるかどうかです。結局のところ、一般ユーザーは、自分のデータは自分のサーバーにのみ保存され、自分だけが利用できると信じています。

テクニカルサポートの回答は次のとおりです。すべて問題ありません。

でもそうは思わないのでお願いします。


5
潜在的には、自分のDBが公開され、他の誰か(秘密/悪意のあるサイトをホストしているなど)によって利用されている可能性があります...誤ってテスト(非本番、実際のデータ/使用法なし)を終了したときに、これが発生しました。インターネット上に公開されたサーバー。数日後に戻って、他の誰かのデータでいっぱいになっているのを見つけました。
マイクグラフ

回答:


25

このホスティングプロバイダーは、セキュリティ違反の責任があります。OWASPの上位10のWebアプリケーションセキュリティリスクを考えると、これはいくつかのセキュリティリスクの問題です:壊れた認証、機密データの漏洩、壊れたアクセス制御。

次のステップはあなた次第です。ホスティングプロバイダーに通知する必要があります。ユーザーはホスティングプロバイダーからデータ侵害の可能性について通知を受ける必要があります。他のユーザーが誰かのプライベートデータにアクセスできる可能性があるため、これは非常に深刻なセキュリティと法的問題です。

参照:https : //owasp.org/www-project-top-ten/


4
テクニカルサポートの回答は次のとおりです。すべて問題ありません。
ДмитрийПаймуллин

15
@ДмитрийПаймуллин、他のユーザーのデータにアクセスできる場合、他のユーザーもあなたのデータにアクセスできます。これは安全ではないため、このホスティングプロバイダーの使用を検討する必要があります。
Nikola Kirincic

@NikolaKirincicあなたが挿入する必要がありますnot前にconsider
Erkin AlpGüney

@NikolaKirincicここで覚えておくべき重要なことは、それがプライベートとして宣伝されていない場合、私がこのようなものを利用することはないと思いますが、その機能が設計され、共有スペースとして設計されている場合、それはセキュリティ違反。
Bruce Burge

5

私はウェブホスティングで働いています。これは正しくなく、深刻な問題を抱えていることを意味します。マネージャーまたは監督者に依頼してください。それがどこにも行かない場合は、MOVE。

あなたが述べたことから、彼らはそれを支払うRedisユーザーのための仮想ユーザーを持っています。他のすべてのユーザーに対して無効にするのではなく、同じ共有プールへのアクセスをすべてのユーザーに許可しているように見え、説明したセキュリティ違反を引き起こしています。


1
こんにちは-あなたの答えは理由のいくつかの説明でより建設的になるでしょう。
ハワードE

提案をありがとう。最初の返信を編集しました。
ライアンフラワー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.