¿Es normal que vea los datos de Redis de otros en hosting compartido? [cerrado]

40

El servicio Redis está disponible en mi hosting, y si lo conecto por dinero, está disponible solo para mí, ya que Redis se eleva en un contenedor acoplado separado.

Pero, si lo apago, Redis todavía se puede usar de forma gratuita, aunque en todo el servidor. Y aquí me estoy conectando a Redis en todo el servidor:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Y veo alrededor de 300,000 registros de sitios de otras personas.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

¡Y puedo cambiar cada registro! Me gusta esto:

$redis->set($allKeys[10000], 0);

Es decir, alguien usa Redis en todo el servidor y creo que el usuario no tiene conocimiento de la disponibilidad pública de sus datos. Acaba de activar la casilla de verificación "Usar Redis" en algún lugar de WordPress.

Y la pregunta es: ¿es el proveedor de hosting responsable de esto? Después de todo, un usuario común cree que sus datos se almacenan solo en su servidor y están disponibles solo para él.

La respuesta del soporte técnico fue: todo está bien.

Pero no lo creo, así que pregunto.

php redis Дмитрий Паймуллин
fuente
55
Potencialmente, solo su propia base de datos está expuesta y ahora está siendo utilizada por otra persona (como alojar un sitio encubierto / malicioso) ... Tuve esto una vez cuando accidentalmente dejé una prueba (sin producción, sin datos / uso reales) redis servidor expuesto en internet. Regresé en un par de días para encontrarlo lleno de datos de otra persona.
Mike Graf

Respuestas:

25

Este proveedor de alojamiento es responsable de la violación de seguridad. Teniendo en cuenta los diez principales riesgos de seguridad de las aplicaciones web de OWASP, este es un problema de pocos riesgos de seguridad: autenticación interrumpida, exposición de datos confidenciales y control de acceso interrumpido.

Cuál es tu próximo paso depende de ti. Debe informar al proveedor de alojamiento, los usuarios deben ser informados por el proveedor de alojamiento por la posible violación de datos. Este es un asunto legal y de seguridad muy serio ya que los datos posiblemente privados de alguien son accesibles para otros usuarios.

Ver: https://owasp.org/www-project-top-ten/

Nikola Kirincic
fuente
44
La respuesta del soporte técnico fue: todo está bien.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, si puede acceder a los datos de otro usuario, entonces el otro usuario también puede acceder a sus datos. Eso no es seguro, y debería considerar usar este proveedor de hosting.
Nikola Kirincic
@NikolaKirincic Necesita insertar un notantes consider.
Erkin Alp Güney
@NikolaKirincic Una cosa importante para recordar aquí, es que si no se anuncia como privado, no creo que haga uso de algo como esto, pero si funciona como está diseñado y diseñado como un espacio compartido, eso no es un violación de seguridad
Bruce Burge
5

Yo trabajo en alojamiento web. ¡Esto no es correcto y significa que tienen un problema serio en sus manos! Solicite un gerente o supervisor. Si eso no va a ninguna parte, MUDATE.

Por lo que describió, tienen usuarios virtuales para los usuarios de Redis que pagan por ello. En lugar de deshabilitarlo para todos los demás, parecen estar permitiendo que todos accedan al mismo grupo compartido, causando la violación de seguridad que ha descrito.

Ryan Flowers
fuente
1
Hola, tu respuesta sería más constructiva con alguna explicación de por qué.
Howard E
Gracias por la sugerencia. He editado mi respuesta inicial.
Ryan Flowers