memcache漏洞Memcached未授权访问

由于memcached安全设计缺陷,客户端连接memcached服务器后无需认证就可读取、修改服务器缓存内容。

除memcached中数据可被直接读取泄漏和恶意修改外,由于memcached中的数据像正常网站用户访问提交变量一样会被后端代码处理,当处理代码存在缺陷时会再次导致不同类型的安全问题(二次安全漏洞)。

检测方法:
1)登录机器执行netstat-an|more命令查看端口监听情况。若回显0.0.0.0:11211,表示在所有网卡进行监听,则存在memcached未授权访问漏洞。
2)telnet<target>11211,或nc-vv<target>11211,提示连接成功表示漏洞存在。
3)使用端口扫描工具nmap进行远程扫描:nmap -sV-p 11211 –script memcached-info <target>

解决方法:
1. 配置memcached监听本地回环地址127.0.0.1
vim /etc/sysconfig/memcached
OPTIONS="-l 127.0.0.1"        #设置本地为监听
/etc/init.d/memcached restart #重启服务
2. 当memcached配置为监听内网IP或公网IP时,使用主机防火墙(iptalbes、firewalld等)和网络防火墙对memcached服务端口进行过滤。

memcache漏洞Memcached未授权访问的更多相关文章

  1. Memcached 未授权访问漏洞及加固

    memcached是一套分布式的高速缓存系统.它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的.正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问. 漏 ...

  2. Memcached未授权访问

    概念 memcached是一个内存中的键值存储区,用于存储来自数据库调用.API调用或页面呈现结果的任意小数据块(字符串.对象).memcached简单但功能强大.其简单的设计促进了快速部署.易于开发 ...

  3. Memcache未授权访问漏洞利用及修复

    Memcached是一套分布式的高速缓存系统.它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的.正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问.本文 ...

  4. jboss 未授权访问漏洞复现

    jboss 未授权访问漏洞复现 一.漏洞描述 未授权访问管理控制台,通过该漏洞,可以后台管理服务,可以通过脚本命令执行系统命令,如反弹shell,wget写webshell文件. 二.漏洞环境搭建及复 ...

  5. jenkins未授权访问漏洞

    jenkins未授权访问漏洞 一.漏洞描述 未授权访问管理控制台,可以通过脚本命令行执行系统命令.通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshe ...

  6. rsync未授权访问漏洞复现

    rsync未授权访问漏洞简介 rsync是Linux/Unix下的一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件和目录,默认运行在873端口.由于配置不当,导致任何人可未授权访问r ...

  7. Memcache未授权访问漏洞

    Memcached 分布式缓存系统,默认的 11211 端口不需要密码即可访问,黑客直接访问即可获取数据库中所有信息,造成严重的信息泄露. 0X00 Memcache安装 1. 下载Mencache的 ...

  8. mongodb未授权访问漏洞

    catalogue . mongodb安装 . 未授权访问漏洞 . 漏洞修复及加固 . 自动化检测点 1. mongodb安装 apt-get install mongodb 0x1: 创建数据库目录 ...

  9. Redis未授权访问漏洞分析

    catalog . Redis简介 . 漏洞概述 . 漏洞利用方式 . 修复方式 1. Redis简介 Relevant Link: http://www.cnblogs.com/LittleHann ...

  10. 【转+自己研究】新姿势之Docker Remote API未授权访问漏洞分析和利用

    0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露.获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 ...

随机推荐

  1. StarRocks 物化视图创建与刷新全流程解析

    最近在为 StarRocks 的物化视图增加多表达式支持的能力,于是便把物化视图(MV)的创建刷新流程完成的捋了一遍. 之前也写过一篇:StarRocks 物化视图刷新流程和原理,主要分析了刷新的流程 ...

  2. 深入掌握iostat:运维必备的I/O性能分析利器

    在Linux系统运维中,磁盘I/O性能往往是系统瓶颈的关键来源.iostat作为sysstat工具包中的核心命令,能够实时监控CPU使用率和磁盘I/O统计,是性能诊断不可或缺的工具.本文将全面解析io ...

  3. 前端开发系列032-基础篇之DOM

    本文将详细介绍DOM相关的知识点,包括但不限于Document文档结构.Node节点.Node节点的类型.Node节点的关系以及DOM的基本操作( 节点的获取.节点的创建.节点的插入.节点的克隆和删除 ...

  4. BI 数据可视化平台建设(3)—首页性能提升实践

    作者: vivo 互联网大数据团队- Wang Lei 本文是vivo互联网大数据团队<BI 数据可视化平台建设>系列文章第3篇. 随着越来越多代码的堆积,平台的运行加载性能也在逐步下降, ...

  5. java线程池使用小技巧:自定义拒绝策略

    java 线程池默认提供了几种拒绝策略: 这几个策略都实现了RejectedExecutionHandler,拿DiscardOldestPolicy来说,查看源码: 核心代码只有2行: e.getQ ...

  6. 解决SQL server中提示对象名无效--九五小庞

    产生SQL对象名无效的问题大多原因是由于数据迁移导致的,下面我们给出解决方法. 在使用数据库的过程中,经常会遇到数据库迁移或者数据迁移的问题,或者有突然的数据库损坏,这时需要从数据库的备份中直接恢复. ...

  7. 那些年我们一起追过的Java技术,现在真的别再追了!

    大家好,我是晓凡. 一.写在前面 前两天,有粉丝朋友小赵,兴冲冲地问我:"凡哥,我想学JSP,网上教程可便宜了,9块9包邮!" 我当场差点把刚喝下去的冰美式喷到他脸上. " ...

  8. AI 赋能的云原生应用:技术趋势与实践

    AI 赋能的云原生应用:技术趋势与实践 随着人工智能技术的飞速发展,云计算作为基础设施的角色日益重要.AI 与云计算的结合,正在催生新一代的云原生应用,为各行各业带来变革性的力量. 本文将探讨 AI ...

  9. C语言中include的冷知识——聊聊大家熟悉又陌生的include

    摘自:https://mp.weixin.qq.com/s/4e8_0SK4mrInJq1dEy4lFQ 不管你是初学者还是高手,在学习了解C语言的时候,都学过include这个知识. 而我们最熟悉最 ...

  10. Qt | 四种方式实现多线程导出数据功能

    前言 在以往的项目开发中,在很多地方用到了多线程.针对不同的业务逻辑,需要使用不同的多线程实现方法,来达到优化项目的目的.本文记录下在Qt开发中用到的多线程技术实现方法,以导出指定范围的数字到txt文 ...