Beanstalkd / Pheanstalk проблема безопасности

Question

Beanstalkd / Pheanstalk проблема безопасности

Я только начал использовать beanstalkd и pheanstalk, и мне любопытно, является ли следующая ситуация проблемой безопасности (и если нет, то почему?):

При разработке очереди, которая будет содержать задания для возможного рабочего сценария для сбора и предварительной обработки запросов к базе данных SQL, я спросил друга, что я могу сделать, чтобы запретить онлайн-пользователю заходить в порт 11300 моего сервера и вставлять работу в ставить себя в очередь и, следовательно, вызывать выполнение задания с вредоносным кодом. Мне сказали, что я могу включить пароль в отправляемую работу.

Хотя по прошествии некоторого времени я понял, что кто-то может выполнить несколько простых команд на терминале и получить задание в очереди, а значит, найти пароль и затем создать задания с включенным паролем:

telnet thewebsitesipaddress 11300 //creating a telnet connection
list-tubes //finding which tubes are currently being used
use a_tube_found //using one of the tubes found
peek-ready //see whats inside one of the jobs and find the password

Что можно сделать, чтобы этого не произошло и моя очередь не была взломана / не контролировалась?

Заранее спасибо!

1

security terminal telnet beanstalkd pheanstalk

Источник

user5487076 24 май '16 в 08:36

1 ответ

Другие вопросы по тегам security terminal telnet beanstalkd pheanstalk

user2362433 24 май '16 в 09:44 2016-05-24 09:44 · Answer 1 · 2016-05-24 09:44

Вы можете избежать таких ситуаций, разместив beanstalkd за брандмауэром или в частной сети.

DigitalOcean (например) предлагает такую услугу, когда у вас есть IP-адрес частной сети, доступ к которому возможен только с серверов того же местоположения.

Мы используем beanstalkd в нашей компании более года, и у нас еще не было таких проблем.

Я вижу, но что, если бы продюсером была страница с именем index.php, где, когда кто-то ее вводил, задание отправлялось в очередь. В этой ситуации разве сервер не должен быть открытой сетью?

Браузер не может связаться с сервером заданий, он только получает доступ к ресурсам / вы / разрешаете им, то есть к странице просмотра. Только бэкэнд может получить доступ к серверу заданий. Кроме того, если вы создадите веб-приложение таким образом, чтобы внешний интерфейс был отделен от внутреннего, у вас будет еще меньше потенциальных проблем с безопасностью.