如果你是一名开发人员，平时可能在本地会运行一些数据库服务，比如Redis,、Memcached、Elasticsearch之流。相信很多产品都会依赖这一类的服务。

但是你可能不知道，这些本地运行的服务能跟你在外网访问的网站进行通信，黑客也许能借此从你本地服务中窃取数据。

攻击如何生效的

虽然笔者下面要讲的并不是新的东西，但攻击利用方法其实还是比较新颖的，因为以前很少有人把这些攻击组合在一起。在这里，我将结合两种不同技术进行测试，即“跨协议脚本”+“DNS重新绑定”。

跨协议脚本(cross protocol scripting)

第一种技术我们称之为“跨协议脚本”，有人在2001年曾经放出过这种攻击的细节。简单解释下攻击原理，那就是Redis、Memcached都存在一个简单的命令行协议，它会忽略无效的命令内容。这意味着，你的浏览器如果发送下面的HTTP请求到你本地的redis(localhost:6379)，redis就会执行相应的SET命令。

POST / HTTP/1.1  Host: localhost:6379  SET abc 123  QUIT

恶意站点可以通过下面的form表单，借助你的手给你本地的redis发送恶意请求：

    SET abc 123  QUIT

而Elasticsearch协议则完全是基于HTTP，所以在通信时没有什么特别的技巧和需要注意的地方。

但是我们在执行上面的测试命令时，实际上是不能直接收到结果的。这是因为浏览器的同源策略，会在你发送请求给另一个域时，能进行限制让你无法取得返回的数据。那么，现在我们就需要用到上面讲的另外一门技术了。

DNS重绑定(DNS Rebinding)

简单解释下，DNS重绑定的攻击原理就是字面的意思，我们采用某种手段重新更新一下DNS A记录，绑定为别的地址。

为了绕过同源策略的保护，我们可以使用DNS重绑定技术，这种攻击需要一台跟你相对TTL值很低的服务器作为域名站点。一旦你浏览器访问了恶意网站，站点上的恶意代码会在特定的时刻，突然将站点DNS记录更改到另外一个的IP地址，比如你私有的IP地址(127.0.0.1)，该恶意站点就能借此窃取你本地服务里面的数据。当然，这前提是在它访问你本地的服务时，能够通过相应的认证授权。

POC代码

我在extractdata.club网站上插入了攻击的POC代码，它会主动尝试连接你本地默认端口的Redis, Memcached和Elasticsearch服务。

大约一分钟后，这个网站会返回类似于下面的页面。

这里的POC只会接收服务的版本信息，并不会去漫游你整个数据库，咱们的POC代码在这里。

修复方案

很遗憾其实没有特别好的办法来解决这个问题，但是我们可以试着为本地运行的服务设置密码。笔者还想出了一个办法，那就是对于Redis和Memcached这两种服务，只要检测到连接是通过HTTP请求发送来的，就可以立即阻止并退出。

对于浏览器方面来讲，厂商可以在浏览器里面实现“DNS阻塞(DNS pinning)”。简单来说就是，一旦某个网站被加载完成，浏览器就需要忽略其DNS的变化。

浏览器厂商也可以把Redis和Memcached端口加入它们阻塞的端口列表中，现在已经在列表中的常见协议有SMTP和IRC。当然，这办法是治标不治本，如果出现了新的服务还是会出现漏洞的。

后记

Chromium开发人员正在致力于移除对HTTP/0.9的支持，这样浏览器就不能从Redisand和Memcached读取数据了。然而，即使这样是这样做，黑客仍然可以进行远程命令执行。

对某些开发者来讲，本地使用的测试数据库里可能不会有太多有价值的东西。但黑客一旦拥有了读写权限，可能会对开发者的电脑进行远程代码执行操作。比如，黑客可以用恶意的payload覆盖疑似Ruby marshalled或者Python pickled数据，这样开发者的电脑就可能会沦陷。

结论

这个POC证明了计算机安全是很难得到绝对的保证的。有的时候，软件单独工作的时候看起来会很安全，但它们在交互时就可能就会产生一定的漏洞。