Est-il normal que je vois les données Redis des autres sur l'hébergement partagé? [fermé]

40

Le service Redis est disponible sur mon hébergement, et si je le connecte pour de l'argent, il n'est disponible que pour moi, car Redis monte dans un conteneur Docker séparé.

Mais, si je le désactive, Redis peut toujours être utilisé gratuitement, mais à l'échelle du serveur. Et ici, je me connecte à Redis à l'échelle du serveur:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Et j'y vois environ 300 000 enregistrements de sites d'autres personnes.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Et je peux changer chaque enregistrement! Comme ça:

$redis->set($allKeys[10000], 0);

Autrement dit, quelqu'un utilise Redis à l'échelle du serveur et je pense que l'utilisateur n'est pas au courant de la disponibilité publique de ses données. Il vient d'activer la case à cocher "Utiliser Redis" quelque part dans WordPress.

Et la question est: l'hébergeur est-il responsable de cela? Après tout, un utilisateur ordinaire pense que ses données ne sont stockées que sur son serveur et ne sont disponibles que pour lui.

La réponse du support technique a été: tout va bien.

Mais je ne pense pas, alors je demande.

php redis Дмитрий Паймуллин
la source
5
Potentiellement, votre propre base de données est exposée et est maintenant utilisée par quelqu'un d'autre (comme héberger un site secret / malveillant) ... J'ai eu cela une fois quand j'ai accidentellement quitté un test serveur exposé sur internet. Je suis revenu dans quelques jours pour le trouver plein de données de quelqu'un d'autre.
Mike Graf

Réponses:

25

Cet hébergeur est responsable de la faille de sécurité. Compte tenu des dix principaux risques de sécurité des applications Web de l'OWASP, il s'agit d'un problème comportant peu de risques de sécurité: authentification brisée, exposition sensible aux données et contrôle d'accès brisé.

Quelle est votre prochaine étape dépend de vous. Vous devez informer le fournisseur d'hébergement, les utilisateurs doivent être informés par le fournisseur d'hébergement de la possible violation de données. Il s'agit d'une question de sécurité et juridique très grave car les données éventuellement privées de quelqu'un sont accessibles aux autres utilisateurs.

Voir: https://owasp.org/www-project-top-ten/

Nikola Kirincic
la source
4
La réponse du support technique a été: tout va bien.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, si vous pouvez accéder aux données d'un autre utilisateur, alors l'autre utilisateur peut également accéder à vos données. Ce n'est pas sécurisé, et vous devriez envisager d'utiliser ce fournisseur d'hébergement.
Nikola Kirincic
@NikolaKirincic Vous devez insérer un notavant consider.
Erkin Alp Güney
@NikolaKirincic Une chose importante à retenir ici, c'est que si ce n'est pas annoncé comme privé, d'accord, je ne pense pas que j'utiliserais quelque chose comme ça, mais si son fonctionnement comme conçu et conçu comme un espace partagé, ce n'est pas un violation de la sécurité.
Bruce Burge
5

Je travaille dans l'hébergement web. Ce n'est pas correct et cela signifie qu'ils ont un sérieux problème sur les mains! Demandez un gestionnaire ou un superviseur. Si cela ne mène à rien, BOUGEZ.

D'après ce que vous avez décrit, ils ont des utilisateurs virtuels pour les utilisateurs de Redis qui paient pour cela. Plutôt que de le désactiver pour tout le monde, ils semblent autoriser tout le monde à accéder au même pool partagé, provoquant la violation de sécurité que vous avez décrite.

Fleurs de Ryan
la source
1
Salut - votre réponse serait plus constructive avec une explication de pourquoi.
Howard E
Merci pour la suggestion. J'ai modifié ma réponse initiale.
Ryan Flowers