警惕Redis登录潜在危害（redis 登录不安全）

在互联网应用中，Redis作为一个非关系型数据库经常被用来作为缓存存储键值对数据，其高效的读写速度、强大的数据处理能力和灵活的应用场景成为了非常流行的解决方案。然而，在使用Redis的同时却也可能存在潜在的安全隐患，如果不注意安全策略，就可能会给应用系统带来不可预测的危害。

一、Redis未授权访问漏洞

Redis未授权访问漏洞是Redis最常见的安全问题之一，当服务未设置正确的授权（比如未设置密码），恶意用户就可以轻松地通过网络协议直接连接到Redis服务器上，从而获取到缓存中存储的敏感数据信息，比如用户密码、银行卡信息等等。为了避免此问题出现，我们需要在Redis配置文件中设置密码参数（requirepass）确保只有经过授权的客户端才能连接到Redis服务器。

示例配置文件：

# requirepass 取消注释，并且设置密码

requirepass 123456

需要注意的是，仅仅这样设置可能仍存在问题，因为Redis的配置文件可能被其他用户篡改过，因此我们还需要限制Redis只能在部署机器的本地进行连接，这样可以避免未经授权的请求对Redis造成威胁。

示例配置文件：

# 修改bind：

bind 127.0.0.1

二、Redis注入漏洞

Redis支持的是REDIS协议，它没有SQL的Range和Filter等操作，而是简单的提供了一组简单的命令，通过命令的组合完成不同的任务。这也导致了Redis注入攻击与传统的SQL注入攻击略有不同。Redis注入攻击主要针对Redis自带的一些业务方法，比如eval（执行lua脚本）、HSET（插入hash表）等方法。

示例代码：

# 输入Redis命令

redis-cli –eval test1.lua name , ‘hello’ , ‘0’

# 在Lua脚本中处理数据

redis.call(‘set’,KEYS[1],ARGV[1])

redis.call(‘set’,KEYS[2],ARGV[1])

这里可以看到，eval函数执行了test1.lua脚本，而test1.lua脚本中的代码则对Redis缓存执行了set命令，如果攻击者提供了恶意的输入参数，则可能会在脚本中执行非法的Redis操作，比如删除所有缓存数据，甚至是获取Redis服务器设备权限，造成无法预测的风险。

为了避免此问题的发生，我们需要在使用Redis命令前，对输入参数进行有效的去嵌入式编码处理（比如防止输入中含有单引号），并采用Redis提供的数据模型代替插入命令（比如使用Hash表等），以确保无法注入恶意代码。

示例代码：

local results = {}

for _,key in iprs(KEYS) do

results[#results+1] = redis.call(‘HSET’, key, ‘name’, ARGV[1])

end

return results

三、Redis DOS攻击漏洞

Redis服务器为了支持高并发的数据存取，常常采用的一种缓冲模型是将数据通过队列进行排队，根据客户端的请求去操作队列中的数据，完成数据操作后再将结果回写到队列中。但是，如果客户端恶意请求和发送大量的数据，或者干扰等操作，就可能会导致Redis服务器的队列堵塞，进而引发DoS攻击漏洞，造成服务不稳定或崩溃等风险。

为了避免此风险的发生，我们需要在Redis服务运行时，采用合适的限流策略，比如限制单个客户端的最大请求次数，或者使用基于Token Bucket算法的限流组件等，确保Redis服务器的稳定性。

示例代码：

# 限制请求速度为：10个请求/秒

redis-cli –latency-monitor-threshold 0 eval “lrem exp_whitelist 1 $1; return redis.call(‘SET’, KEYS[1], ARGV[1], ‘PX’, ARGV[2], ‘NX’);” 1 exhale:6f0766c5-c8eb-4486-9d6e-4246f2cce514 2000

综上所述，Redis作为一个非关系型数据库，在使用过程中需要高度警惕可能存在的危险，及时采取有效的措施确保数据储存的完整性、机密性和可用性。