`

【新年安全第一弹】Redis CSRF漏洞分析及防范措施

阅读更多
Redis CSRF漏洞分析
近日有网友暴漏了Redis的CSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及如何安全使用Redis进行介绍。阿里云云数据库Redis版强制需要密码访问,不受该漏洞影响,而对于自建Redis用户可以根据后续的一个建议措施进行修复。

CSRF介绍
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
csrf.png
上图为CSRF攻击的一个简单模型用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。

Redis CSRF攻击模型
csrf2.png
根据上面CSRF的原理恶意网站可以让用户发送一个HTTP请求给Redis,由于Redis支持文本协议,而在接下协议过程中如果碰到非法的协议并不会断开链接,这个时候攻击者可以通过在正常的HTTP请求之后携带Redis命令从而在Redis上执行命令,而如果用户和Redis之间是没有密码验证的则可以正常执行Redis命令并对数据进行加密勒索,就像之前Mongodb赎金事件一样。

内核修复
Redis作者在3.2.7版本对该问题进行了一个修复,解决方案是对于POST和Host:的关键字进行特殊处理记录日志并断开该链接避免后续Redis合法请求的执行。

Redis安全风险
更早之前Redis暴露了一个安全漏洞,黑客在一条条件下可以拿到Redis服务的root权限,这些安全漏洞发生的原因主要是因为用户对于Redis的安全机制了解比较少,还有用户缺少Redis相关的运维经验,同时由于Redis也没有提供更丰富的安全防护机制。阿里云云数据库Redis版提供了更安全的Redis服务,对于云上的Redis服务建议使用云数据库Redis服务,接下去我们将对云数据Redis安全的要点进行介绍。

阿里云Redis安全规范
内网访问,避免公网访问
阿里云Redis只提供可信任的内网访问,用户不能通过公网访问到阿里云Redis

物理网络隔离
阿里云Redis物理机网络和用户网络物理隔离,用户虚拟机无法直接访问后端物理机网络

VPC网络隔离
对于阿里云用户如果使用专有云VPC网络,则能够保证只有同一个VPC网络下的服务可以互相访问

白名单
阿里云Redis支持白名单设置,目前未在控制台开放,后续用户可以在控制台设置可以访问的用户白名单

密码访问
阿里云Redis对于经典网络的实例强制开启密码鉴权,用户可以通过设置复杂的密码避免密码被攻破

访问权限隔离
阿里云Redis后端每个实例进行权限和访问目录的隔离,每个实例都只能访问自己实例的路径,避免实例之间的互相影响

禁用危险命令
阿里云Redis禁用了一些危险的系统管理命令config,save等,用户如果需要进行参赛修改需要通过控制台二次验证之后才能修改,同时也避免了直接操作后端的配置文件及管理命令
阅读全文直接点击:http://click.aliyun.com/m/9817/
分享到:
评论

相关推荐

    Python-通过Redis和CSRF获取RCE的一个示例

    **Python与Redis结合的安全风险及防范** 在网络安全领域,Python是一种常见的编程语言,常用于开发Web应用程序和服务。Redis则是一款高性能的键值数据库,广泛应用于数据缓存和快速数据交互。然而,当Python应用...

    cpp-一个CSRF演示窃取本地Redis数据并加密本地网络上的所有Redis实例

    一个CSRF演示,窃取本地Redis数据,并加密本地网络上的所有Redis实例

    Redis技术分析及运用

    ### Redis技术分析及运用 #### 一、Redis简介与特性 Redis是一种开源的键值(Key-Value)存储系统,属于非关系型数据库(NoSQL)的一种,它将数据存储在内存中,以提高数据访问速度。由于其高效的数据结构和丰富的...

    Redis常见漏洞利用方法总结1

    Redis(Remote Dictionary Server ),即远程字典服务,是个开源的使 ANSI C 语编写、持络、可基于内存亦可持久化的志型、Key-

    Redis流量-流量分析

    Redis流量分析是数据库管理和优化的重要环节,特别是在高并发、大数据量的应用场景中,理解并监控Redis的流量状况有助于提升系统的性能和稳定性。Redis作为一个高性能的键值存储系统,其流量管理涉及读写操作频率、...

    Redis系列漏洞总结1

    Redis是一款高性能的Key-Value数据库,它以提供高效的数据存储和检索能力而闻名。作为一款内存数据库,Redis...在使用Redis时,必须考虑安全策略,如限制网络访问、启用身份验证和加密通信,以防止潜在的漏洞被利用。

    基于springboot+echarts+redis实现的数据分析及可视化系统源码+项目说明.zip

    1、基于springboot+echarts+redis实现的数据分析及可视化系统源码+项目说明.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目...

    redis队列弹幕

    Redis队列弹幕系统是一种基于Redis数据库实现的实时消息推送技术,主要用于在视频直播或在线活动等场景下显示用户发送的弹幕。Redis作为一个高性能的键值存储系统,以其丰富的数据结构和高效的处理能力,成为了构建...

    【Redis基础教程及开发案例及解析】Redis基础教程及开发案例及解析

    Redis基础教程及开发案例及解析Redis基础教程及开发案例及解析Redis基础教程及开发案例及解析Redis基础教程及开发案例及解析Redis基础教程及开发案例及解析Redis基础教程及开发案例及解析Redis基础教程及开发案例及...

    Redis源代码分析.pdf

    Redis源代码分析 Redis是一款开源的Key-Value存储引擎,支持多种值类型,如string、hash、list、set和sorted set等。 Redis源代码分析文档对Redis的源代码进行了深入分析,涵盖了Redis的基本功能、服务器模型、事件...

    redis4.0.8

    Redis,全称Remote Dictionary Server,是一款高性能的键值存储系统,常被用于数据库、缓存和消息中间件等场景。在大数据处理中,Redis因其快速的读写性能和丰富的数据结构,成为许多开发者首选的内存数据平台。本文...

    Redis集群性能测试分析

    Redis是一个非关系型数据库,属于内存级数据库。但是由于数据量的不断增大,单机的Redis物理内存远远无法满足大数据的需要,因此需要搭建分布式的Redis,可以动态扩展内存,弥补单机Redis物理内存不够的缺点。本次...

    redis安全配置基线.xlsx

    redis安全配置基线.xlsx

    【redis-7.0.15】

    Redis是一款高性能的键值对数据库,它以C语言编写,支持网络,是完全开源的,拥有丰富的数据结构,如字符串、哈希、列表、集合、有序集合等,同时还提供了发布/订阅、事务、持久化、主从复制等功能,广泛应用于缓存...

    基于springboot+echarts+redis开发的数据分析及可视化系统源码-毕业设计作品.zip

    基于springboot+echarts+redis开发的数据分析及可视化系统源码-毕业设计作品.zip基于springboot+echarts+redis开发的数据分析及可视化系统源码-毕业设计作品.zip基于springboot+echarts+redis开发的数据分析及可视化...

    apache及redis部署

    4. **安全与优化**:确保安装了必要的安全模块,如mod_security,并定期更新Apache到最新版本以防止安全漏洞。 二、Redis数据库部署 1. **安装Redis**:在Linux服务器上,使用以下命令安装Redis: ``` sudo apt-...

    redis4.0x5.0x-远程命令漏洞利用exp.rar

    redis4.0x5.0x-远程命令漏洞利用exp 2019年7月9日版,仅用来学习测试,不可用于非法用途,谢谢配合,实测可用

    Redis架构设计分析

    ### Redis架构设计分析 #### 一、前言 在项目的实际应用中,Redis因其高性能、低延迟等特点成为了不可或缺的一部分。为了更好地理解和应用Redis,在合适的业务场景中发挥其最大效能,有必要深入了解Redis的设计与...

Global site tag (gtag.js) - Google Analytics