【Druid 未授权访问漏洞】解决办法

最新推荐文章于 2024-09-03 13:40:59 发布
最新推荐文章于 2024-09-03 13:40:59 发布
阅读量887 收藏
点赞数 2
分类专栏: 安全技术 漏洞修复 文章标签: 安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haha_201510/article/details/140403179
版权

【Druid 未授权访问漏洞】解决办法

漏洞描述

Alibaba Druid 未授权访问【原理扫描】 
Alibaba Druid是一款Java语言开发的数据库连接池。Druid能够提供强大的监控和扩展功能。 
Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息

修改web.xml文件

  1. 进入到项目(galaxy)部署目录后,进入到WEB-INF目录。
cd server/web/webapps/webapp/WEB-INF
  1. 修改web.xml文件
vi web.xml
  1. 找到DruidStatView配置片段,增加用户名密码配置。
	<servlet>
		<servlet-name>DruidStatView</servlet-name>
		<servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>
        <!--	增加用户名密码  开始	-->
		<init-param>
			<param-name>loginUsername</param-name>
			<param-value>admin</param-value>
		</init-param>
		<init-param>
			<param-name>loginPassword</param-name>
			<param-value>admin!QAZwsx</param-value>
		</init-param>
        <!--	增加用户名密码  结束	-->
	</servlet>
  1. 重新启动项目。
苏叶新城
关注
专栏目录
web渗透测试漏洞复现:Druid 授权访问
HACKONE的博客
03-20 1286
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
漏洞挖掘】——90、Druid授权访问漏洞
Fly_鹏程万里
06-14 538
Druid是一款前端界面非常友好的数据库连接池,它可以实现监控数据源、连接池、SQL执行情况等,由于Druid的设置里面带有后台管理页面,而该页面默认是不需要登录即可访问从而造成了授权访问漏洞,对于该漏洞,攻击者可以通过该页面直接操作数据库,甚至可以获取权限进而控制整个数据库。
解决Alibaba Druid 授权访问【原理扫描】
weixin_46612437的博客
09-07 3164
今天在漏洞扫描中收到了一个通报表,扫出来有一个Alibaba Druid 授权访问【原理扫描】的漏洞,解决方法是对druid进行权限配置,接下来讲一讲怎么解决这个漏洞
Druid授权访问解决
最新发布
weixin_50003028的博客
09-03 1158
需要明确: Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。(1)可以继续使用Druid监控管理功能。
Java安全漏洞Druid授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞Druid授权访问解决
【原理扫描】Alibaba Druid 授权访问
空空
03-24 1万+
问题描述 项目中 Alibaba Druid 默认情况下设置访问控制,攻击者可以登录以获取敏感信息 原因分析: druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。 解决方案: 在yml配置文件中进行账号密码配置或者禁用页面 datasource: druid: # 配置DruidStatViewServlet stat-view-
Druid授权访问漏洞修复
雅俗共赏的博客
06-13 2785
安全组针对系统漏扫发现系统存在Druid授权访问,会引发泄露系统敏感信息。
Druid授权漏洞进一步的利用
qq_53058639的博客
02-19 5626
对于druid授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
【Java】Druid授权访问漏洞如何处理
姜太小白的博客
07-06 8944
Druid授权访问漏洞如何处理
druid授权命令执行漏洞复现(CVE-2021-25646)
尘玥的故事
06-01 917
由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。druid授权命令执行漏洞复现(CVE-2021-25646)
【springboot漏洞Druid授权访问漏洞,修复思路。springboot
游游的小博客
01-20 6662
Druid授权访问漏洞,修复思路漏洞描述解决建议 漏洞描述 漏洞描述: Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问。 解决建议 解决建议: 修改中间件配置 给出的例子,springboot的配置 spring: datasource: druid: max-active: 10 mi
解决druid 后台弱口令漏洞,springboot,亲测可用
weixin_42279465的博客
02-24 4061
druid 后台弱口令漏洞,综合利用漏洞,攻击者可以 登入系统数据库获取敏感数据,上传木马后门,存在安全隐患,具体 情况详情请见验证情况。Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入。即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。修改application.properties文件。
JAVA常用组件授权漏洞解析
wintercc1219的博客
02-04 1174
在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果对这些组件没有做好权限控制,公网可以任意访问的话,就会泄露敏感信息,进一步造成更严重的危害。今天就来看一下,都有哪些组件。
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。
Power7089的博客
08-08 3185
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计的系统,长文警告,要好好学习哦。
Druid授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6459
Druid授权访问 漏洞复现
Alibaba druid授权访问漏洞
qq_61475980的博客
07-22 514
这里泄露的是登录用户的session,不管是登陆成功的,没登陆成功的,还是已经失效的都会储存在这里。有druid/weburi.html泄露的话,可以爆破这些路径。利用泄露的session去fuzz该系统登录后的界面地址。然后就找系统后台的漏洞点。
druid授权访问漏洞修复/xss漏洞修复-详细漏洞入门教程
2401_84915584的博客
06-25 294
IT之家 6 月 11 日消息,Arm 公司昨日发布安全公告,提醒 Bifrost 和 Valhall GPU 内核驱动程序存在漏洞,且有相关证
Druid授权访问漏洞及解决方法
06-03
Druid授权访问漏洞是一种常见的安全漏洞。攻击者可以通过该漏洞授权访问Druid集群中的敏感数据。 解决Druid授权访问漏洞的方法如下: 1. 配置Druid安全认证:Druid提供了基于角色的访问控制(Role-Based Access Control,RBAC)机制,可以通过配置Druid安全认证来限制用户的访问权限。 2. 使用防火墙:使用防火墙来限制Druid访问权限,只允许指定的IP地址或网络访问Druid集群。 3. 更新Druid版本:及时更新Druid版本,修复已知的漏洞,减少安全风险。 4. 限制Druid访问端口:将Druid集群的访问端口限制在内部网络中,避免在公共网络中直接暴露Druid访问端口。 总之,保障Druid集群的安全对于数据安全具有重要意义,需要采取一系列措施来减少安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏叶新城

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值