产生的一切后果自行承担。 小维 Redis未授权访问漏洞 漏洞简介以及危害 Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则 避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一 般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 异的，这里就不再介绍了。 也可以直接利用python脚本 Docker 未授权访问漏洞利用脚本[没试过] 防御手段 -简单粗暴的方法，对2375端口做网络访问控制，如ACL控制，或者访问规则。 -修改docker swarm的认证方式，使用TLS认证：Overview Swarm with TLS 和 Configure Docker Swarm for TLS这两篇文档，说的是配置好TLS后，Docker

数据库是以⽆序的⽅式存放数据库键的， ⼀个新加⼊的键可能会出现在数据库的任何位置 上， 因此我们在使⽤ Redis 的过程中不应该对键在数据库中的摆放位置做任何假设， 以免造成错误。 2.1.1 改变覆盖规则 在默认情况下， 对⼀个已经设置了值的字符串键执⾏ SET 命令将导致键的旧值被新值覆盖。 举个例⼦， 如果我们连续执⾏以下两条 SET 命令， 那么第⼀条 SET 命令设置的值将被第⼆条 SET 元素的客户端重新回到⾮阻塞状态。 如果在同⼀时间， 有多个客户端因为同⼀个列表⽽被阻塞， 那么当导致阻塞的列表变为⾮空时， 服务器将按照 “先阻塞先服务”的规则， 依次为被阻塞的各个客户端弹出列表元素。 ⽐如表 4-2 就展示了⼀个服务器按照先阻塞先服务规则处理被阻塞客户端的例⼦： 在这个例⼦中， A、B、C 三 个客户端先后执⾏了 BLPOP lst 10 命令， 并且都因为 lst 列表为空⽽被阻塞，