内容简介:memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。因memcache无权限控制功能,所以该漏洞修复方法通过用户对访问来源进行限制解决。如果memcache没有在外网开放的必要,可在memcached启动的时候指定绑定的ip地址为 127.0.0.1。例如:其中 -l 参数指定为本机地址。
memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。因memcache无权限控制功能,所以该漏洞修复方法通过用户对访问来源进行限制解决。
修复方法一:
如果memcache没有在外网开放的必要,可在 memcached 启动的时候指定绑定的ip地址为 127.0.0.1。例如:
memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid
其中 -l 参数指定为本机地址。
修复方法二:
注意: 请谨慎配置iptables规则
如果memcache服务需要对外提供服务,则可以通过iptables进行访问控制,下面是只允许本机访问:
// accept # iptables -A INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT # iptables -A INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT // drop # iptables -I INPUT -p tcp --dport 11211 -j DROP # iptables -I INPUT -p udp --dport 11211 -j DROP // 保存规则并重启 iptables # service iptables save # service iptables restart
上述规则的意思是只允许192.168.0.2这个ip对11211端口进行访问。
验证 memcache 端口11211开启情况
无需用户名密码,可以直接连接memcache 服务的11211端口。执行如下命令获得相应结果:
# stats //查看memcache 服务状态 # stats items //查看所有items # stats cachedump 32 0 //获得缓存key # get :state:264861539228401373:261588 //通过key读取相应value ,获得实际缓存内容,造成敏感信息泄露
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Nginx+Tomcat实现80端口转发8080端口
- 猎鹰网络安全工具新功能:主机端口扫描可以自定义端口范围
- nginx代理其他端口到80端口-低调小熊猫的技术小黑屋
- 浅析Linux网络端口
- 443端口共用的方案
- 端口复用
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Essential PHP Security
Chris Shiflett / O'Reilly Media / 2005-10-13 / USD 29.95
Being highly flexible in building dynamic, database-driven web applications makes the PHP programming language one of the most popular web development tools in use today. It also works beautifully wit......一起来看看 《Essential PHP Security》 这本书的介绍吧!
JSON 在线解析
在线 JSON 格式化工具
html转js在线工具
html转js在线工具