Redis注入失败一次注入挫折的经历(redis注入不进去)

Redis注入失败:一次注入挫折的经历

创新互联为企业级客户提高一站式互联网+设计服务,主要包括成都网站设计、成都网站制作重庆APP开发、微信小程序开发、宣传片制作、LOGO设计等,帮助客户快速提升营销能力和企业形象,创新互联各部门都有经验丰富的经验,可以确保每一个作品的质量和创作周期,同时每年都有很多新员工加入,为我们带来大量新的创意。 

在进行Web应用安全测试过程中,我尝试对某个电商网站进行Redis注入测试,结果却遇到了挫折。

我使用了常见的Redis注入语句 `127.0.0.1:6379> flushall` 来清空Redis数据库。但是,我无法顺利地进行注入,该语句不能成功执行。

经过实践和研究,我发现该电商网站使用的Redis版本是较新的,而该版本默认情况下已经禁止通过网络接口执行危险命令,所以无法通过网络接口来执行 `flushall` 命令。并且,该网站还开启了认证机制,需要输入账号和密码才能访问命令行界面。

为了克服这一问题,我尝试使用Redis漏洞扫描工具,如Redis-CLI、Redis-Dump 和 Redis-Stat,以及一些知名的IRC聊天室,例如#redis和#redis-sec,来寻求建议和帮助。但是,我都没有找到有效的方法,从而无法成功进行Rredis注入测试。

在接下来的一些尝试中,我发现该电商网站使用了名为 `Redis Sentinel` 的Redis的高可用性解决方案,该方案基于哨兵程序,自动监视整个集群中的主节点和从节点,并在主节点出现故障时自动把某个从节点提升为主节点以保证服务的可用性。这意味着即使我注入成功并清除了所有数据,该网站的哨兵进程仍然可以恢复数据并保持服务在线。

最终,我被迫放弃了我原本希望成功进行的Redis注入测试。但是,这一经历也让我更加深入地了解了Redis的一些高级功能,包括高可用性解决方案和安全机制。

在这个经历中,我学到了很多关于网络安全的知识,包括如何面对挫折和寻求他人的帮助,以及如何扩大我的知识和技能,避免类似的情况再次发生。作为一个安全测试人员,我们不仅需要具备一定的理论知识和实践技能,还需要怀着探索和挑战的精神不断学习和进步,才能更好地为公司和客户提供优质的安全测试服务。

香港服务器选创新互联,2H2G首月10元开通。
创新互联(www.cdcxhl.com)互联网服务提供商,拥有超过10年的服务器租用、服务器托管、云服务器、虚拟主机、网站系统开发经验。专业提供云主机、虚拟主机、域名注册、VPS主机、云服务器、香港云服务器、免备案服务器等。

本文名称:Redis注入失败一次注入挫折的经历(redis注入不进去)
分享地址:http://www.36103.cn/qtweb/news45/32545.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联