Redis注入失?。阂淮巫⑷氪煺鄣慕?jīng)歷

創(chuàng)新互聯(lián)為企業(yè)級客戶提高一站式互聯(lián)網(wǎng)+設計服務，主要包括成都網(wǎng)站設計、成都網(wǎng)站制作、重慶APP開發(fā)、微信小程序開發(fā)、宣傳片制作、LOGO設計等，幫助客戶快速提升營銷能力和企業(yè)形象，創(chuàng)新互聯(lián)各部門都有經(jīng)驗豐富的經(jīng)驗，可以確保每一個作品的質量和創(chuàng)作周期，同時每年都有很多新員工加入，為我們帶來大量新的創(chuàng)意。 

在進行Web應用安全測試過程中，我嘗試對某個電商網(wǎng)站進行Redis注入測試，結果卻遇到了挫折。

我使用了常見的Redis注入語句 `127.0.0.1:6379> flushall` 來清空Redis數(shù)據(jù)庫。但是，我無法順利地進行注入，該語句不能成功執(zhí)行。

經(jīng)過實踐和研究，我發(fā)現(xiàn)該電商網(wǎng)站使用的Redis版本是較新的，而該版本默認情況下已經(jīng)禁止通過網(wǎng)絡接口執(zhí)行危險命令，所以無法通過網(wǎng)絡接口來執(zhí)行 `flushall` 命令。并且，該網(wǎng)站還開啟了認證機制，需要輸入賬號和密碼才能訪問命令行界面。

為了克服這一問題，我嘗試使用Redis漏洞掃描工具，如Redis-CLI、Redis-Dump 和 Redis-Stat，以及一些知名的IRC聊天室，例如#redis和#redis-sec，來尋求建議和幫助。但是，我都沒有找到有效的方法，從而無法成功進行Rredis注入測試。

在接下來的一些嘗試中，我發(fā)現(xiàn)該電商網(wǎng)站使用了名為 `Redis Sentinel` 的Redis的高可用性解決方案，該方案基于哨兵程序，自動監(jiān)視整個集群中的主節(jié)點和從節(jié)點，并在主節(jié)點出現(xiàn)故障時自動把某個從節(jié)點提升為主節(jié)點以保證服務的可用性。這意味著即使我注入成功并清除了所有數(shù)據(jù)，該網(wǎng)站的哨兵進程仍然可以恢復數(shù)據(jù)并保持服務在線。

最終，我被迫放棄了我原本希望成功進行的Redis注入測試。但是，這一經(jīng)歷也讓我更加深入地了解了Redis的一些高級功能，包括高可用性解決方案和安全機制。

在這個經(jīng)歷中，我學到了很多關于網(wǎng)絡安全的知識，包括如何面對挫折和尋求他人的幫助，以及如何擴大我的知識和技能，避免類似的情況再次發(fā)生。作為一個安全測試人員，我們不僅需要具備一定的理論知識和實踐技能，還需要懷著探索和挑戰(zhàn)的精神不斷學習和進步，才能更好地為公司和客戶提供優(yōu)質的安全測試服務。

香港服務器選創(chuàng)新互聯(lián)，2H2G首月10元開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）互聯(lián)網(wǎng)服務提供商,擁有超過10年的服務器租用、服務器托管、云服務器、虛擬主機、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗。專業(yè)提供云主機、虛擬主機、域名注冊、VPS主機、云服務器、香港云服務器、免備案服務器等。

網(wǎng)頁題目：Redis注入失敗一次注入挫折的經(jīng)歷（redis注入不進去）
網(wǎng)頁鏈接：http://uogjgqi.cn/article/djcogic.html