redis无密码漏洞不加密码的解决方案

最新推荐文章于 2024-08-11 18:55:22 发布
原创 最新推荐文章于 2024-08-11 18:55:22 发布 · 862 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis

本文描述了Redis服务在无密码配置下存在的安全风险,攻击者可通过config命令执行远程命令。介绍了两种解决方法:设置密码或修改bindip,以及禁用config和EVAL命令,避免潜在的安全威胁。

漏洞描述:
http://blog.51cto.com/simeon/2115184?wx=

概述:
无密码登陆的redis里,利用config去执行远程本地命令

解决:
可以设置redis密码或者更改bindip,但会限制原先免密码登陆的应用。
可以修改config命令为无效
vim /data/redis/conf/36379/redis.conf
添加
rename-command CONFIG ""
rename-command EVAL ""

darkula
关注
Redis 添加密码,解决 Redis 未授权漏洞
甘蓝的专栏
04-09 487
介绍 Redis 未授权访问漏洞及修复办法。
关于SpringBoot项目yml配置数据库、redis、mq等中间件的用户密码敏感信息加密问题的解决方案
最新发布
eternally_zh128@sina.com的博客
09-09 1646
一般情况下,yml里边的配置信息 都是在项目部署时动态管理的,一般不存在泄密或者不安全的情况,但是,不凡有一些脑袋有泡的客户,要对你项目源码进行安全性检测。
MD14.5.0以上导出用户无密码解决方案
buysoftware1的专栏
03-13 615
MD14.5.0以下的版本默认导出accounts.csv中有密码列,而在14.5.0以上版本后则默认不显示密码列,想要查看密码的用户可以如下操作。 1、账户---导出---逗号分割的文件   2、MD安装根目录,ASP文件夹下的mdaemon.ini 3、修改键值--[Special] ExportPasswords=Yes
redis无密码登录
m0_54861649的博客
04-22 3033
redis的配置文件redis.conf中,Redis3.2加入的新特性,开启保护模式。即开启了protected-mode,默认值为 protected-mode =yes 是说redis只允许本机登录。 这样登录的前提是要设置密码,即要requirepass属性, requirepass =你设置的密码 如要无密码登录,就要设置protected-mode =no ,即可 ...
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 938
记一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂记录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作记录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
Redis未授权访问漏洞
bring_coco的博客
03-23 512
介绍 Redis默认配置是不需要密码认证的,也就是说只要连接的redis服务器的host和port正确,就可以连接使用。因此如果配置不当(没有启用redis的认证密码),可以造成上传webshell,数据库泄露,代码执行,敏感信息泄露,写入ssh公钥,利用计划任务反弹shell等 环境:kali(vps) 192.168.188.128 kali(web服务器) 192.168.188.158 当用Namp扫描发现6379端口对外开放时,用web服务器连接vps 基本命令 Config set dir
Redis服务器设置密码无密码攻 击
weixin_34112030的博客
03-05 971
一、设置密码方法1:编辑配置文件(需要重启redis才能生效)vi /usr/local/redis/conf/redis.confrequirepass'test123'设置密码后操作redis的方法(1)交互操作redis-cli auth'test123'(2)非交互式的操作redis-cli-a'test123'info方法2:(无需重启redis):aut...
Redis未授权漏洞复现
m0_74644493的博客
03-29 1008
Redis是远程字典服务(是一个开源使用ANSI C语言编写的、可基于内存亦可持久化的日志型、Key-Vaule数据库、并提供多种语言API),redis默认绑定端口是0.0.0.0:6379,一般密码为空,如果没有设置密码或者密码特别简单(弱密码),会被直接未授权访问,读取数据甚至利用Redis自身的命令进行文件写入。
Redis未授权漏洞复现及利用(window,linux)
热门推荐
dreamthe的博客
03-22 2万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
Redis整形溢出漏洞(CVE-2021-32761)及修复脚本
淡定波的博客
07-23 5820
一、漏洞情况说明 Redis整形溢出漏洞(CVE-2021-32761): Redis是世界范围内应用广泛的内存型高速键值对数据库。 攻击者通过BIT命令与proto-max-bulk-len配置参数结合的情况下,可攻击运行在32位的系统中的32位的Redis程序,该漏洞能够造成整形溢出,并最终导致远程代码执行。 二、影响范围 Redis整形溢出漏洞影响版本: 2.2 < Redis Redis < 5.0.13 2.2 < Redis Redis < 6.0.15 2.2 <
Redis 漏洞总结
qq_41696518的博客
06-26 3591
其实漏洞的原理无外乎就2点:1. 能连接Redis,这是利用的前提。2. linux一切皆文件,要利用的服务可通过修改文件内容达成。
如果redis没设置密码 那么密码链接会怎么样
weixin_40668969的博客
08-11 337
项目方案:关于Redis无密码链接的安全性分析与解决方案 项目背景 Redis 是一个开源的内存数据结构存储系统,常被用作数据库、缓存和消息中间件。虽然 Redis 提供了密码保护功能,但在某些环境中,出于性能或者开发便利的考虑,可能会选择不设置密码。这种情况下,Redis 的安全性就变得非常脆弱,可能导致未授权访问和数据...
Redis漏洞大全~讲解最全的漏洞利用方法
weixin_67832625的博客
08-11 3501
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
防止利用redis未设置密码漏洞入侵服务器
子幽七
09-22 951
防止redis通过未设置密码入侵服务器
redis未授权访问--拿webshell以及实现ssh免密登录
不积跬步无以至千里,不积小流无以成江海
08-30 1076
redis是一个非常快速的,开源的、支持网络、可基于内存亦可持久化的日志型、非关系类型的数据库;提供多种语言的 API,java/c/c++/c#/php/javascript/
Redis未授权访问漏洞引出的漏洞利用方式
Chu_Jian_Xiong的博客
11-20 1587
redis未授权访问漏洞是一个由于redis服务版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器的ip地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用。
docker redis动态的主从挂载(没有设置密码)和哨兵高可用配置
岁月染过的梦的博客
09-18 322
mkdir -p /usr/local/src/redis/{conf ,data0,data1,data2,data3} 配置文件参考博客园 将配置文件redis.conf放到conf目录下 [root@localhost redis3]# docker run --name redis -d -it -p 6379:6379 -v $PWD/data0:/data -v $PWD/conf/redis.conf:/etc/redis.conf redis:5.0.4 ####外部端口为6379的不能作
Redis漏洞利用总结】
weixin_46356409的博客
01-22 2955
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis默认使用 6379 端口。
Teamlock企业密码管理器:基于RSA与对称加密的安全解决方案
综上所述,Teamlock不仅仅是一个简单的密码存储工具,更是一套完整的企业级数字安全管理解决方案。它融合了现代密码学原理、安全编程框架与高效数据库技术,致力于在保障极致安全的前提下提供流畅的团队协作体验。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值