Redis 未授权访问

本文主要是介绍Redis 未授权访问，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

1.漏洞简介

redis是一个数据库，默认端口是6379，redis默认是没有密码验证的，可以免密码登录操作，攻击者可以通过操作redis进一步控制服务器。
Redis未授权访问在4.x/5.0.5以前版本下，可以使用master/slave模式加载远程模块，通过动态链接库的方式执行任意命令。

2.漏洞检测

kali安装redis-cli远程连接工具

wget http://download.redis.io/redis-stable.tar.gz
tar -zxvf redis-stable.tar.gz
cd redis-stable
make
cp src/redis-cli /usr/bin/
redis-cli -h

使用redis-cli命令直接远程免密登录redis主机

redis-cli -h 目标主机IP

3.漏洞修复

• 禁止使用root权限启动redis服务；
• 对redis访问启动密码认证；
• 添加IP访问限制，并更改默认6379端口；

这篇关于Redis 未授权访问的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！