【背景小百科】Redis未授权访问是怎么来的呢？当工程师遇到数据量很大，而同时对存取更改速度有要求时，Redis数据库无疑是最好的选择。但是部分RD因为未考虑安全因素，导致Redis配置不当，则可造成未授权访问漏洞。

【小安说】 小安来给大家讲讲Redis未授权访问漏洞吧。假设我家的保险箱上有一扇门，这个门只允许有钥匙的人才可以打开。但是由于保险箱配置的问题，导致这个门可以被另一把钥匙打开，而坏人刚好就有这把钥匙。别人有自己的保险柜的钥匙，有多危险大家应该都能想到吧。

【漏洞危害】

Ø被攻击者利用导致敏感信息泄露

【小安说】 这个大家应该都能看出来了，坏人打开你的保险柜，他会知道你所有的资产，拿走一些你的钱财也不一定，对吧？

Ø恶意执行flushall来清空所有数据

【小安说】 这个坏人很贪心，他直接拿走了保险柜里所有的财产，想想就心疼。

Ø可能通过数据备份功能往磁盘写入后门文件，获取大量的数据

【小安说】这就太狠了，坏人在保险柜背后重新开了一个门，每次被你放进去的东西，都会被他发现，被他拿走，一个人一直拿走自己的财产，多可怕啊。

【小贴士】 那么如何防止Redis未授权访问的发生呢？需要把端口监听设置为只监听本地而非监听0.0.0.0:6379，并开启redis的强密码认证。当然啦，咱们的工程师们配置Redis的时候可一定要仔细仔细再仔细哦。

【bad case】安全管理部之前接到过多起情报，有黑客发现百度某业务存在Redis未授权访问漏洞，导致内网的服务器处于危险之中。事件紧急处理完毕后，相关责任人被部门通报批评。批评事小，安全事大。数据安全是信息安全的基本保障，为自己的产品线负责是咱们每个百度人的责任，你觉得呢？