Druid 监控登录漏洞

于 2024-08-27 17:51:41 发布
阅读量167 收藏 2
点赞数 11
分类专栏: java 安全 文章标签: 微服务 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DoupeLe/article/details/141608654
版权

漏洞原因

Druid 是一个 Java 数据库连接池,它提供了丰富的监控功能来帮助管理和优化数据库连接。默认情况下,Druid 的监控页面 (stat-view-servlet) 是启用的,并且可能在配置中包含一个默认的或弱的登录密码。这种设置使得攻击者能够通过访问监控页面获取敏感的数据库连接信息或执行其他恶意操作

如果监控页面没有正确配置,攻击者可以利用以下漏洞:
未授权访问:监控页面默认可能不需要认证或者认证机制不严密。
默认密码:使用了默认的或者弱密码,容易被暴力破解。
这些漏洞可能会导致数据泄露或其他安全问题。
在这里插入图片描述

修改方法

为了提高安全性,建议对 Druid 监控页面进行如下配置,以确保只有授权用户可以访问并增强安全性。

方法1禁用监控页面

如果不需要监控功能,最好禁用它。修改 Druid 配置,将 stat-view-servlet 的 enabled 设置为 false:

druid:
  stat-view-servlet:
    enabled: false

方法2配置访问权限

如果需要启用监控页面,确保配置正确的访问控制。设置强密码,并限制允许访问的 IP 地址范围。以下是一个示例配置:

druid:
  stat-view-servlet:
    enabled: true
    login-username: strongusername
    login-password: strongpassword
    allow: 127.0.0.1  # 只允许本地访问,可以设置为特定 IP 地址范围

方法3配置 Web 监控过滤器

确保 web-stat-filter 已启用,并设置合适的访问权限:

druid:
  web-stat-filter:
    enabled: true
    url-pattern: /*

完整配置如下:

spring:
  datasource:
    url: jdbc:mysql://172.16.8.118:3306/test_cloud?useUnicode=TRUE&characterEncoding=utf-8&noAccessToProcedureBodies=TRUE&useSSL=FALSE&serverTimezone=GMT%2B8&socketTimeout=30000
    username: doupel
    password: doUpel@123.com
    druid:
      initial-size: 5
      min-idle: 5
      max-active: 20
      max-wait: 60000
      time-between-eviction-runs-millis: 60000
      min-evictable-idle-time-millis: 300000
      validation-query: SELECT 1 FROM DUAL
      test-while-idle: true
      test-on-borrow: false
      test-on-return: false
      pool-prepared-statements: true
      max-pool-prepared-statement-per-connection-size: 20
      filters: stat,wall
      use-global-data-source-stat: true
      connect-properties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000
      stat-view-servlet:
        enabled: true
        login-username: doupel
        loginPassword: QpxgUkWHNNaMU7P4
        allow:
        web-stat-filter:
          enabled: false
DoupeLe
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】若依系统Druid默认弱口令漏洞
晚风不及你
02-26 2772
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。
飞企互联-FE企业运营管理平台 druid路径 弱口令漏洞复现
0xSec
04-08 737
飞企互联-FE企业运营管理平台/druid/login.html 路径处的登录接口存在弱口令漏洞,未授权的攻击者可通过该漏洞直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。
解决 Druid 监控漏洞的最佳实践
cooldream2009的博客
07-24 1199
Druid 是一个开源的分布式数据存储系统,广泛应用于实时分析和数据可视化。然而,Druid 监控页面存在一个潜在的安全漏洞:如果没有适当的访问控制,任何人都可以直接登录并查看系统中的大量信息。这不仅威胁到数据的安全性,还可能导致系统的稳定性问题。本文将详细介绍该漏洞的描述,并提供解决该漏洞的方法,包括添加用户名和密码保护以及关闭监控页面的步骤。
解决 Druid监控漏洞的最佳实践
zhugedali_的博客
07-24 385
实施基于角色的访问控制(RBAC),为不同的用户或用户组分配明确的角色,如管理员、观察者、数据录入员等,每个角色具有特定的权限。- 定期审查和更新用户的访问权限,确保权限与用户的工作职责相匹配,及时删除离职员工或不再需要访问的用户的权限。- 针对 Druid 监控系统的使用,提供专门的培训,让员工熟悉正确的操作流程和安全注意事项。- 确保加密密钥的安全管理,包括密钥的生成、存储、备份和更新,遵循最佳的密钥管理实践。- 对于关键的生产环境,进行充分的备份和回滚方案的准备,以防更新出现意外情况。
二十二、Druid未授权访问漏洞
starhei.zxy的博客
08-06 160
漏洞特征:http://www.xxxx.com/druid/index.html。步骤一:使用以下语句在Fofa与Google上进行资产收集....步骤三:Druid批量扫描脚本...步骤二:对访问到的站点查看...》》》防御手段《《《
Druid未授权漏洞实战利用
qax
08-30 1万+
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任 0x00 前言 最近一直想更一篇实战的文章,距离上篇文章已经过去5个月了,上个月本来是想更一个湾湾大学的内网实战的,但是奈何搞到一半被管理员发现了,所控的服务器全部下线了,也就没再弄下去,此文章是在某SRC的某个企业的渗透实战,干货不是很多,但是相信对你的实战思路绝对是有帮助的。 0x01Druid未授权漏洞发现 对于Druid未授权访问,直接用扫描工具就可.
druid 阿里监控
06-21
本教程将全面介绍Druid的核心特性和如何在实际项目中配置和使用Druid监控。 1. **Druid数据库连接池** Druid作为数据库连接池,它的主要职责是管理数据库连接,提供高效的数据库访问性能。相比于其他连接池如C3P0...
druid监控页面未授权访问漏洞
热门推荐
m0_37354578的博客
06-30 1万+
一、项目环境 SpringBoot Version:2.4.5 二、问题场景 项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g
Druid-Monitor监控Java-web和JavaSE项目
01-30
Druid是阿里巴巴开源的一个高性能、多功能的数据库连接池组件,它不仅提供数据库连接管理,还集成了监控、SQL解析、执行性能统计等多种功能。在Java Web和Java SE项目中,Druid Monitor是一个重要的工具,用于实时...
TMDOG的微服务之路_07——初入微服务,NestJS微服务快速入门
m0_74139496的博客
08-23 1205
微服务架构是一种软件开发方法,将应用程序划分为多个独立的小服务,每个服务都执行特定的业务功能。这些服务可以独立部署、更新和扩展,且通常通过轻量级的通信机制(如 HTTP、TCP 等)进行交互。微服务架构的优点在于高可扩展性、灵活性和易于维护。模块化:将应用程序拆分为一系列小型服务,每个服务都是独立的模块,易于维护和扩展。独立部署:每个服务都可以独立部署,无需影响其他服务。松耦合:每个服务都使用独立的数据存储,相互之间松耦合,避免了单点故障。高可用性:服务可以水平扩展,以应对高流量和高并发请求。
微服务事务管理
m0_74002833的博客
08-23 1077
本地事务,也就是传统的单机事务。
springcloud alibaba 微服务web服务器tomcat改为undertow
yyongsheng的博客
08-23 334
背景:springcloud alibaba 微服务 maven引入的服务器依赖排除tomcat改为undertow后,启动服务依然是使用的tomcat作为服务器,undertow未生效。启动类中增加指定内嵌服务器代码。
12-使用gateway作为微服务网关
maodou95838的专栏
08-27 617
本文介绍spring gateway的使用,包括配置文件和使用java代码配置,让大家了解spring gateway的用法。如果不了解什么是微服务网关,就先查查资料,网关相对来说是比较重要的微服务组件。
微服务通信
weixin_71072718的博客
08-22 821
Feign是Spring Cloud提供的一个声明式的伪Http客户端,它使得调用远程服务就像调用本地服务一样简单,只需要创建一个接口并添加一个注解即可。Nacos很好的兼容了Feign, Feign默认集了Ribbon,所以在Nacos下使用Fegin默认就实现了负载均衡的效果官方地址:https://github.com/OpenFeign/feign。Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。
如何使用 Go 语言开发微服务
最新发布
禅与代码的艺术
08-27 502
首先以 Go 语言原生的 RPC 标准库为例,介绍了如何实现客户端程序与服务端程序。最后,介绍了字节跳动开源的微服务框架 Kitex 的基本使用方式,还重点介绍了其在可扩展性方面以及服务治理方面的实现原理。
Java微服务Knife4j报错503问题 网关整合解决
麻辣香蝈蝈的博客
08-23 568
Java Knife4j微服务网关集成问题解决 进入不了网关Knife4j解决
微服务Dubbo扩展点如何做
lixiemang8887的博客
08-23 983
扩展 Dubbo
druid monitor漏洞
06-08
Druid Monitor漏洞是指Druid监控组件存在安全漏洞,攻击者可以通过该漏洞获取敏感信息或者远程执行任意代码。该漏洞主要存在于Druid监控组件的数据源配置中,攻击者可以在数据源配置中注入恶意代码,从而实现远程执行任意代码的攻击。为了防止该漏洞被攻击利用,建议及时升级Druid监控组件到最新版本,并且配置合适的权限和访问控制策略。同时,也需要对Druid监控组件的数据源配置进行严格的安全审计,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值