Redis CSRF漏洞分析及云Redis安全措施介绍

白宸 2017-02-02

数据存储与数据库 redis 漏洞分析 阿里云 http 云数据库 csrf

Redis CSRF漏洞分析

近日有网友暴漏了Redis的CSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及如何安全使用Redis进行介绍。阿里云云数据库Redis版强制需要密码访问,不受该漏洞影响,而对于自建Redis用户可以根据后续的一个建议措施进行修复。

CSRF介绍

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
csrf.png
上图为CSRF攻击的一个简单模型用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。

Redis CSRF攻击模

登录 后评论
下一篇
corcosa
10425人浏览
2019-10-08
相关推荐
Node.js 安全清单
1706人浏览
2017-05-02 15:26:00
redis持久化(persistence)
922人浏览
2017-06-30 14:55:12
[译]Nginx和Lua
429人浏览
2013-04-17 17:13:02
Redis 持久化
958人浏览
2018-03-01 09:31:00
未授权访问的tips
2188人浏览
2018-05-04 20:41:48
6
14
4
9693