为Druid监控配置访问权限(配置访问监控信息的用户与密码)

最新推荐文章于 2023-03-08 14:23:54 发布
最新推荐文章于 2023-03-08 14:23:54 发布
阅读量7.9k 收藏 2
点赞数
分类专栏: J2EE开发基础

Druid是一个强大的新兴数据库连接池,兼容DBCP,是阿里巴巴做的开源项目.

不仅提供了强悍的数据源实现,还内置了一个比较靠谱的监控组件。 

GitHub项目主页: https://github.com/alibaba/druid

QQ群:  点击链接加入群【阿里开源技术交流

演示地址: http://cncounter.duapp.com/druid/index.html

常见问题回答请参考: https://github.com/alibaba/druid/wiki/%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98

一篇CSDN对Druid的介绍  druid简单教程

因为想要监控数据,又不愿意谁都可以访问,所以想要配置个密码.在开源群里一问,就知道原来内部已经有实现了.

先贴完成后的代码:

web.xml 部分:

[html]  view plain copy
  1. <!-- Druid,监控数据库,以及WEB访问连接信息 -->  
  2. <!-- 参考: https://github.com/alibaba/druid/wiki/%E9%85%8D%E7%BD%AE_%E9%85%8D%E7%BD%AEWebStatFilter -->  
  3. <filter>  
  4.     <filter-name>DruidWebStatFilter</filter-name>  
  5.     <filter-class>com.alibaba.druid.support.http.WebStatFilter</filter-class>  
  6.     <init-param>  
  7.         <param-name>exclusions</param-name>  
  8.         <param-value>*.js,*.gif,*.jpg,*.png,*.css,*.ico,*.jsp,/druid/*,/download/*</param-value>  
  9.     </init-param>  
  10.     <init-param>  
  11.         <param-name>sessionStatMaxCount</param-name>  
  12.         <param-value>2000</param-value>  
  13.     </init-param>  
  14.     <init-param>  
  15.         <param-name>sessionStatEnable</param-name>  
  16.         <param-value>true</param-value>  
  17.     </init-param>  
  18.     <init-param>  
  19.         <param-name>principalSessionName</param-name>  
  20.         <param-value>session_user_key</param-value>  
  21.     </init-param>  
  22.     <init-param>  
  23.         <param-name>profileEnable</param-name>  
  24.         <param-value>true</param-value>  
  25.     </init-param>  
  26. </filter>  
  27. <filter-mapping>  
  28.     <filter-name>DruidWebStatFilter</filter-name>  
  29.     <url-pattern>/*</url-pattern>  
  30. </filter-mapping>  
  31. <!-- 配置 Druid 监控信息显示页面 -->  
  32. <servlet>  
  33.     <servlet-name>DruidStatView</servlet-name>  
  34.     <servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>  
  35.     <init-param>  
  36.         <!-- 允许清空统计数据 -->  
  37.         <param-name>resetEnable</param-name>  
  38.         <param-value>true</param-value>  
  39.     </init-param>  
  40.     <init-param>  
  41.         <!-- 用户名 -->  
  42.         <param-name>loginUsername</param-name>  
  43.         <param-value>druid</param-value>  
  44.     </init-param>  
  45.     <init-param>  
  46.         <!-- 密码 -->  
  47.         <param-name>loginPassword</param-name>  
  48.         <param-value>druid</param-value>  
  49.     </init-param>  
  50. </servlet>  
  51. <servlet-mapping>  
  52.     <servlet-name>DruidStatView</servlet-name>  
  53.     <url-pattern>/druid/*</url-pattern>  
  54. </servlet-mapping>  

下面分享一下如何查找的。

首先,因为使用的是 MAVEN, 所以查看源码时maven会自动帮你下载. 我们在 web.xml 中点击com.alibaba.druid.support.http.StatViewServlet 进入class文件,等一会源码下载好就可以查看. 发现有类似下面这样的代码: 

[java]  view plain copy
  1. public class StatViewServlet extends ResourceSerlvet {  
  2.   
  3.     private final static Log      LOG                     = LogFactory.getLog(StatViewServlet.class);  
  4.   
  5.     private static final long     serialVersionUID        = 1L;  
  6.   
  7.     public static final String    PARAM_NAME_RESET_ENABLE = "resetEnable";  
  8.   
  9.     public static final String    PARAM_NAME_JMX_URL      = "jmxUrl";  
  10.     public static final String    PARAM_NAME_JMX_USERNAME = "jmxUsername";  
  11.     public static final String    PARAM_NAME_JMX_PASSWORD = "jmxPassword";  
  12.   
  13.     private DruidStatService      statService             = DruidStatService.getInstance();  
  14.   
  15.     /** web.xml中配置的jmx的连接地址 */  
  16.     private String                jmxUrl                  = null;  
  17.     /** web.xml中配置的jmx的用户名 */  
  18.     private String                jmxUsername             = null;  
  19.     /** web.xml中配置的jmx的密码 */  
  20.     private String                jmxPassword             = null;  
  21. .........  

可以看出,继承了 StatViewServlet  extends  ResourceSerlvet

而在其中的 jmxUrl、jmxUsername 和 jmxPassword 很显然是连接远程 JMX时使用的,那么我就想着去看看父类: com.alibaba.druid.support.http.ResourceSerlvet

[java]  view plain copy
  1. @SuppressWarnings("serial")  
  2. public abstract class ResourceSerlvet extends HttpServlet {  
  3.   
  4.     private final static Log   LOG                 = LogFactory.getLog(ResourceSerlvet.class);  
  5.   
  6.     public static final String SESSION_USER_KEY    = "druid-user";  
  7.     public static final String PARAM_NAME_USERNAME = "loginUsername";  
  8.     public static final String PARAM_NAME_PASSWORD = "loginPassword";  
  9.     public static final String PARAM_NAME_ALLOW    = "allow";  
  10.     public static final String PARAM_NAME_DENY     = "deny";  
  11.     public static final String PARAM_REMOTE_ADDR   = "remoteAddress";  
  12.   
  13.     protected String           username            = null;  
  14.     protected String           password            = null;  
  15. ..........  

看到了 username 和 password,很高兴,先配置了试试,但是配置这两个初始化参数后没起作用,于是继续查找. 看到了 service方法,我们知道,Servlet的业务逻辑就是从这里开始的。

[java]  view plain copy
  1. public void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {  
  2.     ......  
  3.     if (isRequireAuth() //  
  4.         && !ContainsUser(request)//  
  5.         && !("/login.html".equals(path) //  
  6.              || path.startsWith("/css")//  
  7.              || path.startsWith("/js"//  
  8.         || path.startsWith("/img"))) {  
  9.         if (contextPath == null || contextPath.equals("") || contextPath.equals("/")) {  
  10.             response.sendRedirect("/druid/login.html");  
  11.         } else {  
  12.             if ("".equals(path)) {  
  13.                 response.sendRedirect("druid/login.html");  
  14.             } else {  
  15.                 response.sendRedirect("login.html");  
  16.             }  
  17.         }  
  18.         return;  
  19.     }  
  20. ......  

发现调用了   isRequireAuth()  方法,看着像是判断是否需要授权验证,于是进去看

[java]  view plain copy
  1. public boolean isRequireAuth() {  
  2.     return this.username != null;  
  3. }  

那现在知道是 username 在作怪,也设置了,但是没有起作用,于是搜索 username ,

[java]  view plain copy
  1. public void init() throws ServletException {  
  2.     initAuthEnv();  
  3. }  
  4.   
  5. private void initAuthEnv() {  
  6.     String paramUserName = getInitParameter(PARAM_NAME_USERNAME);  
  7.     if (!StringUtils.isEmpty(paramUserName)) {  
  8.         this.username = paramUserName;  
  9.     }  
  10.   
  11.     String paramPassword = getInitParameter(PARAM_NAME_PASSWORD);  
  12.     if (!StringUtils.isEmpty(paramPassword)) {  
  13.         this.password = paramPassword;  
  14.     }  
  15.   ......  
然后发现了初始化验证环境时使用了PARAM_NAME_USERNAME这个参数,顺便的学习了一个新API: getInitParameter 方法获取 Servlet的初始化参数, 是HttpServlet的父类 GenericServlet 类提供的:
[java]  view plain copy
  1. String paramUserName = getInitParameter(PARAM_NAME_USERNAME);  
那么很简单,找到  PARAM_NAME_USERNAME  即可:
[java]  view plain copy
  1. public static final String PARAM_NAME_USERNAME = "loginUsername";  
  2. public static final String PARAM_NAME_PASSWORD = "loginPassword";  
于是在 web.xml 中换上,OK,成功进行了拦截.
你也可以参考这里:   CNCounter项目的web.xml
AndyLizh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透测试漏洞复现:Druid 未授权访问
HACKONE的博客
03-20 217
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
springboot1.5+shiro+mybatis+druid监控后台系统(java)
07-03
本套系统使用springboot1.5+shiro实现权限控制,界面主要使用bootstrap构建。有文件上传下载功能。定分较高,请谨慎下载,因为本人保证可以远程教将项目在你的本地跑起来。达到下载后可以自己使用的效果。联系方式见...
spring boot、和Druid集成时出现http://localhost:8080/druid/login.html重定向过多。
qq_40224331的博客
08-15 5111
pring boot、和Druid集成时出现http://localhost:8080/druid/login.html重定向过多。 解决方法:ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean(new StatViewServlet(),"/druid/"); 加上"/druid/"就可以解决...
使用Druid实现用户登录
qq_40922346的博客
08-22 2521
需求: 1.编写login.html登录页面username & password 两个输入框 2.使用Druid数据库连接池技术,操作mysql,day14数据库中user表 3.使用JdbcTemplate技术封装JDBC 4.登录成功跳转到SuccessServlet展示:登录成功!用户名,欢迎您 5.登录失败跳转到FailServlet展示:登录失败,用户名或密码错误 1.导包 准备如图所示的包,导入到idea中的lib文件夹中,并进行Add as library操作; 2.登
SpringBoot项目中Druid自动登录
陈增林
12-04 5975
SpringBoot集成Druid并且自动/跳过登录Druid是什么集成Druid不可避免的配置引用properties配置Druid过滤一些设置自动登录可以的到信息使用Filter 过滤 替换掉Url最终结果 Druid是什么 2019最受欢迎中国开源软件评选投票https://www.oschina.net/project/top_cn_2019 请参与投票。   &nbs...
SpringBoot 整合Druid
cs_quan的博客
05-23 487
1 Druid 简介 Druid是Java语言中最好的数据库连接池。Druid能够提供强大的监控和扩展功能。 Druid 的下载地址 maven中央仓库: http://central.maven.org/maven2/com/alibaba/druid/ Github 地址https://github.com/alibaba/druid#readme Druid 可以很好的监控 DB 池连接和 SQL 的执行情况,天生就是针对监控而生的 DB 连接池。 Spring Boot 2.0 .
SpringBoot druid监控页未授权访问漏洞
MonsterTiny的博客
08-18 8433
druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。 解决方法: 在配置文件中禁用druid监控页或添加用户密码 spring: datasource: druid: stat-view-servlet: # 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动 enabled: false u
druid监控页未授权访问漏洞修复笔记
enthan809882的博客
12-31 5861
场景 安全人员提出:druid监控页未授权访问漏洞。 http://ip:port/druid/login.html 可以看到druid信息。 解决方案 一般来说有两种方案: 1、页面可以展示,但是肯定不能让任何人都看到。所以需要登录账户和密码。 2、页面禁用掉,不对外展示。 方案一 添加如下代码即可: @Bean public ServletRegistrationBean druidStatViewServlet() { ServletRegistrationBean registration
记录SpringBoot+Druid配置监控
qq_40817472的博客
05-15 549
以下内容摘自《SpringBoot微服务项目实战》 一、Druid概述 Druid是阿里巴巴开源项目中得一个数据库连接池。Druid是一个JDBC组件,它包括三部分: 1)DruidDriver:代理Driver,能够提供基于Filter-Chain模式得插件体系。 2)DruidDataSource:高效可管理得数据库连接池。 3)SQLParser:它支持所有JDBC兼容得数据库,包括Oracle、MySQL、SQLServer登。 Druid监控、可扩展、稳定性和性能方面具有明显得优势。
spring-dubbo-service:微服务spring dubbo项目:dubbo rpc;德鲁伊数据源连接池; mybatis配置集成,多数据源; jmx监控MBean;定时任务; aop; ftp;测试;指标监控;参数验证;跨域处理; shiro权限控制; consul服务注册,发现; redis分布式锁; SPI服务机制; cat监控; netty服务代理; websocket; disconf; mongodb集成;休息; docker; fescar
02-03
spring-dubbo-service微服务一,服务模块1,服务器配置:servlet,侦听器,拦截器,...执行器项目监控信息获取;指标监控2,测试测试dubbo rpc服务测试websocket protobuf3,常见api接口4,rpcproxy netty rpc服务代
hm:技术栈:SpringBoot,SpringSecurity,MyBatis,thymeleaf,Druid,Hutool工具包,PageHelper,Lombok,swagger2等。功能:角色管理,权限资源管理,菜单管理,用户管理,文件管理,系统监控,SQL文件生成,代码生成器等
03-23
功能:角色管理,权限资源管理,菜单管理,用户管理,文件管理,系统监控,SQL文件生成,代码生成器等编辑###项目演示:后台登录页面:后台首页: 双面功能1菜单管理:Swagger API文档在线代码生成功能:技术选型...
springboot整合shiro、redis、druid 源码下载
04-06
spring-boot项目整合shiro权限框架,实现了登录认证、权限认证、密码加密、rememberMe、验证码、登录次数过多限制功能 整合redis,使用缓存注解,不用每次都查询数据库 整合druid,页面上监控sql语句的执行情况 git项目...
Novel前后端分离权限管理系统-其他
06-11
5、角色管理:角色菜单权限分配、设置角色按机构进行数据范围权限划分。 6、操作日志:系统正常操作日志记录和查询;系统异常信息日志记录和查询。 7、登录日志:系统登录日志记录查询包含登录异常。 8、服务监控:...
SpringBoot中使用druid访问http://localhost:8080/druid/login.html时报localhost 将您重定向的次数过多。
仙女的博客
03-27 5690
SpringBoot中使用druid访问http://localhost:8080/druid/login.html时出现以下界面 ServletRegistrationBean<StatViewServlet> bean = new ServletRegistrationBean<>(new StatViewServlet(),"/druid/*"); 添加上访...
SpringBoot整合Druid配置监控页,非常详细
出发,永远是最有意义的事,去做就是了
01-23 3484
监控地址: localhost/druid/login.html 登录后 yaml配置 <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.17</version>
Druid监控页面配置用户密码、去除Ad
Benjamin
03-08 1万+
Druid监控页面配置用户密码、去除Ad。
Spring boot、Spring Security和Druid集成后,因csrf校验开启,不能登录http://localhost:8086/druid/login.html的解决办法
QUDIHUAI的专栏
12-07 5511
Spring boot、Spring Security和Druid集成后,druid部分配置如下 spring:   datasource:     druid:       stat-view-servlet.enabled: true       stat-view-servlet.url-pattern: /druid/* 因为默认开启csrf校验校验,所以进入http://local...
druid监控
热门推荐
u012102536的博客
03-30 2万+
基本概念 Druid 是Java语言中最好的数据库连接池。 虽然 HikariCP 的速度稍快,但是,Druid能够提供强大的监控和扩展功能,也是阿里巴巴的开源项目。 Druid是阿里巴巴开发的号称为监控而生的数据库连接池,在功能、性能、扩展性方面,都超过其他数据库连接池,包括DBCP、C3P0、BoneCP、Proxool、JBoss DataSource等等等,秒杀一切。 Druid 可以很好的监控 DB 池连接和 SQL 的执行情况,天生就是针对监控而生的 DB 连接池。 Spring B.
Druid未授权访问利用
春日野穹
11-14 1万+
引言~ 最近外网打点遇到个Druid未授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言为java,druid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成未授权访问,攻
配置druid监控,包括监控页面的访问路径、用户名、密码的代码
最新发布
03-09
你可以参考以下代码配置druid监控: 1. 在pom.xml中添加以下依赖: ``` <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.10</version> </dependency> ``` 2. 在application.properties中添加以下配置: ``` # druid监控配置 spring.datasource.druid.stat-view-servlet.enabled=true spring.datasource.druid.stat-view-servlet.url-pattern=/druid/* spring.datasource.druid.stat-view-servlet.login-username=admin spring.datasource.druid.stat-view-servlet.login-password=admin ``` 其中,/druid/* 是监控页面的访问路径,admin/admin 是用户名和密码。 3. 在启动类上添加注解 @ServletComponentScan,使得Druid的Servlet能够被扫描到。 ``` @SpringBootApplication @ServletComponentScan public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样就可以访问 http://localhost:808/druid/index.html 来查看监控信息了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值