Redis CSRF漏洞分析及云Redis安全措施介绍

本文涉及的产品
云原生多模数据库 Lindorm,多引擎 多规格 0-4节点
云数据库 Redis 版,社区版 2GB
推荐场景:
搭建游戏排行榜
云数据库 MongoDB,通用型 2核4GB
简介: 近日有网友暴漏了Redis的CSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及云数据库Redis的安全要点进行介绍。

Redis CSRF漏洞分析

近日有网友暴漏了Redis的CSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及如何安全使用Redis进行介绍。阿里云云数据库Redis版强制需要密码访问,不受该漏洞影响,而对于自建Redis用户可以根据后续的一个建议措施进行修复。

CSRF介绍

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
csrf.png
上图为CSRF攻击的一个简单模型用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。

Redis CSRF攻击模型

csrf2.png
根据上面CSRF的原理恶意网站可以让用户发送一个HTTP请求给Redis,由于Redis支持文本协议,而在解析协议过程中如果碰到非法的协议并不会断开链接,这个时候攻击者可以通过在正常的HTTP请求之后携带Redis命令从而在Redis上执行命令,而如果用户和Redis之间是没有密码验证的则可以正常执行Redis命令并对数据进行加密勒索,就像之前Mongodb赎金事件一样。

内核修复

Redis作者在3.2.7版本对该问题进行了一个修复,解决方案是对于POST和Host:的关键字进行特殊处理记录日志并断开该链接避免后续Redis合法请求的执行。

Redis安全风险

更早之前Redis暴露了一个安全漏洞,黑客在一条条件下可以拿到Redis服务的root权限,这些安全漏洞发生的原因主要是因为用户对于Redis的安全机制了解比较少,还有用户缺少Redis相关的运维经验,同时由于Redis也没有提供更丰富的安全防护机制。阿里云云数据库Redis版提供了更安全的Redis服务,对于云上的Redis服务建议使用云数据库Redis服务,接下去我们将对云数据Redis安全的要点进行介绍。

阿里云Redis安全规范

内网访问,避免公网访问

阿里云Redis只提供可信任的内网访问,用户不能通过公网访问到阿里云Redis

物理网络隔离

阿里云Redis物理机网络和用户网络物理隔离,用户虚拟机无法直接访问后端物理机网络

VPC网络隔离

对于阿里云用户如果使用专有云VPC网络,则能够保证只有同一个VPC网络下的服务可以互相访问

白名单

阿里云Redis支持白名单设置,目前未在控制台开放,后续用户可以在控制台设置可以访问的用户白名单

密码访问

阿里云Redis对于经典网络的实例强制开启密码鉴权,用户可以通过设置复杂的密码避免密码被攻破

访问权限隔离

阿里云Redis后端每个实例进行权限和访问目录的隔离,每个实例都只能访问自己实例的路径,避免实例之间的互相影响

禁用危险命令

阿里云Redis禁用了一些危险的系统管理命令config,save等,用户如果需要进行参数修改需要通过控制台二次验证之后才能修改,同时也避免了直接操作后端的配置文件及管理命令

安全监控

阿里云Redis具有完善的物理机安全监控,定期扫描和更新安全监控策略,提早发现安全风险

Redis集群密码

原生Redis 3.0的cluster版本不支持密码验证,阿里云Redis集群版本支持密码验证,提高了安全性

结束

Redis的安全问题需要社区共同宣传和优化,希望大家在Redis使用过程中碰到问题可以及时分享,让社区来共同解决问题,新的一年到来也希望Redis社区有更大的进步同时阿里云Redis也希望给大家提供更安全、性能更优、性价比更高的云数据库Redis服务。在此代表阿里云Redis同学恭祝大家新年快乐,工作顺利。最后广告时间到了,阿里云Redis致力于提供最好的云数据库Redis服务,我们正在寻找有一样志向的同学加入我们,有兴趣的同学请猛击链接

相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
云数据库 Redis 版使用教程
云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore     ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库 ECS 实例和一台目标数据库 RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
目录
相关文章
|
15天前
|
缓存 监控 NoSQL
【Redis性能瓶颈揭秘】「调优系列」深入分析热Key的排查策略和解决方案
【Redis性能瓶颈揭秘】「调优系列」深入分析热Key的排查策略和解决方案
58 0
|
2月前
|
安全 数据安全/隐私保护
CSRF漏洞利用工具 -- CSRFTester
CSRF漏洞利用工具 -- CSRFTester
26 0
|
2月前
|
安全 数据安全/隐私保护
31、CSRF漏洞介绍
31、CSRF漏洞介绍
20 0
|
2月前
|
安全 数据安全/隐私保护
小课堂 -- CSRF漏洞介绍
小课堂 -- CSRF漏洞介绍
16 0
|
2月前
|
缓存 监控 NoSQL
Redis - 在电商购物车场景下的实战分析
Redis - 在电商购物车场景下的实战分析
148 0
|
3月前
|
存储 缓存 NoSQL
【分布式】Redis与Memcache的对比分析
【1月更文挑战第25天】【分布式】Redis与Memcache的对比分析
|
4月前
|
安全 NoSQL API
【Redis】二进制安全
【Redis】二进制安全
|
4月前
|
NoSQL Java Redis
SpringBoot原理分析 | Redis集成
SpringBoot原理分析 | Redis集成
45 0
|
5月前
|
安全 NoSQL Java
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
65 0
|
15天前
|
缓存 运维 NoSQL
【Redis故障排查】「连接失败问题排查和解决」带你总体分析和整理Redis的问题故障实战开发指南及方案
【Redis故障排查】「连接失败问题排查和解决」带你总体分析和整理Redis的问题故障实战开发指南及方案
33 0

相关产品

  • 云数据库 Redis 版