Alibaba Druid 未授权访问解决方案

最新推荐文章于 2024-06-13 10:56:57 发布
最新推荐文章于 2024-06-13 10:56:57 发布
阅读量1k 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/J_com/article/details/129197256
版权

Alibaba Druid 未授权访问

	Alibaba Druid登录增加安全系数

方案一

	在DruidDBConfig中增加druidServlet方法,定义登录账号密码或者白名单访问,具体如下

@Bean
    public ServletRegistrationBean druidServlet() {
        ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
        servletRegistrationBean.setServlet(new StatViewServlet());
        servletRegistrationBean.addUrlMappings("/druid/*");
        Map<String, String> initParameters = new HashMap<>();
        initParameters.put("resetEnable", "false"); //禁用HTML页面上的“Rest All”功能
        initParameters.put("allow", "");  //ip白名单(没有配置或者为空,则允许所有访问)
        initParameters.put("loginUsername", "admin@123");  //++监控页面登录用户名
        initParameters.put("loginPassword", "admin@123");  //++监控页面登录用户密码
        initParameters.put("deny", ""); //ip黑名单
        //如果某个ip同时存在,deny优先于allow
        servletRegistrationBean.setInitParameters(initParameters);
        return servletRegistrationBean;
    }

方案二

	项目不使用或者很少用到Durid监控页,可以直接禁用

#是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
spring.datasource.druid.stat-view-servlet.enabled=false
Aniohevotach
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Alibaba Druid 授权访问
weixin_45238297的博客
11-05 4372
Alibaba Druid 授权访问【原理扫描】 启动项目后druid的登录界面:http://localhost:8080/druid/index.html;在没有配置需要用户名和密码的情况下,会直接登录进入,如下图: 如果有配置对应的用户名和密码druid就会弹出登录界面,如下图: 弹出登录界面输入用户名和密码的配置文件路径:webapps\ROOT\WEB-INF下的web.xml文件; 下面展示配置部份代码: DruidStatView com.alibaba.
Alibaba Druid 授权访问” 安全漏洞
暴暴风的博客
06-27 1万+
Alibaba Druid 默认情况下设置访问控制,攻击者可以登录以获取敏感信息。druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。......
Druid授权访问漏洞修复
最新发布
雅俗共赏的博客
06-13 1055
安全组针对系统漏扫发现系统存在Druid授权访问,会引发泄露系统敏感信息。
【原理扫描】Alibaba Druid 授权访问
空空
03-24 1万+
问题描述 项目中 Alibaba Druid 默认情况下设置访问控制,攻击者可以登录以获取敏感信息 原因分析: druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。 解决方案: 在yml配置文件中进行账号密码配置或者禁用页面 datasource: druid: # 配置DruidStatViewServlet stat-view-
Druid授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6261
Druid授权访问 漏洞复现
Alibaba Druid数据库连接池直接起飞
qq_45515182的博客
11-26 3875
1、什么是数据库连接池 为什么要使用连接池:我们使用Java开发时,就需要访问数据库,而Java不能直接访问数据库,中间得通过JDBC来建立程序和数据库的连接,执行一个事务就需要创建一个连接,而程序和数据库建立连接的过程是最耗时间的,当程序变得庞大,如果频繁的让程序和数据库建立连接,则耗时非常大,所以,程序员们就有了连接池的概念 连接池:存放着与数据库连接的通道,也就是JDBC中的Connection,事先定义好n 个连接,在程序启动的时候就初始化这些连接,后期直接从连接池中拿就行了,最后放回到连接池
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言为javadruid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
SpringBoot集成阿里巴巴Druid监控的示例代码
08-27
SpringBoot集成阿里巴巴Druid监控的示例代码 SpringBoot集成阿里巴巴Druid监控的示例代码是指在SpringBoot项目中集成阿里巴巴开源的数据库连接池Druid,以实现对数据库操作的监控功能。Druid是阿里巴巴开源的...
druid.rar阿里巴巴开源数据库连接池
08-26
Druid为监控而生的数据库连接池,它是阿里巴巴开源平台上的一个项目。DruidJava语言中最好的数据库连接池,Druid能够提供强大的监控和扩展功能.它可以替换DBCP和C3P0连接池。Druid提供了一个高效、功能强大、可...
阿里巴巴数据库连接池druid及其源码
05-28
**阿里巴巴数据库连接池Druid详解** Druid是阿里巴巴开源的一款高效、强大且可扩展的数据库连接池组件。作为Java世界中的优秀数据源管理工具,它不仅提供了基础的数据库连接池功能,还内置了丰富的监控和扩展特性,...
阿里巴巴druid发展计划
04-04
阿里巴巴druid
阿里巴巴druid连接池
10-15
阿里巴巴数据连接池druid,性能远超dpcb和c3p0,资源来自maven仓库
通过源码告诉你阿里的数据库连接池Druid为啥如此牛逼
m0_67645544的博客
04-12 1209
简介 druid是用于创建和管理连接,利用“池”的方式复用连接减少资源开销,和其他数据源一样,也具有连接数控制、连接可靠性测试、连接泄露控制、缓存语句等功能,另外,druid还扩展了监控统计、防御SQL注入等功能。 使用例子-入门 需求 使用druid连接池获取连接对象,对用户数据进行简单的增删改查(sql脚本项目中已提供)。 工程环境 JDK:1.8.0_231 maven:3.6.1 IDE:eclipse 4.12 mysql-connector-java:8.0.15 mysql
alibaba/druid 常见问题
热门推荐
codepython的专栏
01-03 3万+
1,363 Fork895 renfufei edited this page on 16 Sep 2014 · 51 revisions  Pages 54 Benchmark_aliyunContributorsDBCP迁移Druid Change Logdruid m
Alibaba Druid授权访问漏洞记录(敏感目录,端口:不确定)
墨痕诉清风的博客
11-12 1万+
1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.2.Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控.
Alibaba Druid
weixin_43790623的博客
10-07 629
Alibaba DruidDruid连接池是阿里巴巴开源的数据库连接池项目。Druid连接池为监控而生, 内置强大的监控功能,监控特性不影响性能。功能强大,能防SQL注入,内置 Logging能诊断Hack应⽤用⾏行行为。”这是来自Alibaba Druid 官方介绍。正如官方介绍的一样,它的主要功能如下几点: 详细的监控 ExceptionSorter,针对主流数据库的返回码都有支持 SQ...
JavaDruid授权访问漏洞如何处理
姜太小白的博客
07-06 8760
Druid授权访问漏洞如何处理
阿里巴巴开源项目 Druid 负责人温少访谈
特依依|专注J2ee开发、Solr、Solr4、Slorcloud、Lucene和大数据的挖掘技术
03-06 1352
Druid是阿里巴巴开源平台上的一个项目,整个项目由数据库连接池、插件框架和SQL解析器组成。该项目主要是为了扩展JDBC的一些限制,可以让程序员实现一些特殊的需求,比如向密钥服务请求凭证、统计SQL信息、SQL性能收集、SQL注入检查、SQL翻译等,程序员可以通过定制来实现自己需要的功能。 该项目在阿里巴巴内部得到了广泛的部署,在外部也有大量的用户群。为了使大家更好地了解和使用Drui
Druid授权访问漏洞及解决方法
06-03
解决Druid授权访问漏洞的方法如下: 1. 配置Druid安全认证:Druid提供了基于角色的访问控制(Role-Based Access Control,RBAC)机制,可以通过配置Druid安全认证来限制用户的访问权限。 2. 使用防火墙:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值