“Alibaba Druid 未授权访问” 安全漏洞

已于 2022-07-05 16:08:55 修改
阅读量1.3w 收藏 11
点赞数 2
分类专栏: Java 基础 文章标签: java 数据库 服务器
于 2022-06-27 14:04:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawinlolo/article/details/125481204
版权

近期,时常有各种安全漏洞被相关部门稽核整改,其中 “Alibaba Druid 未授权访问” 是一个必改项。

问题描述

Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息。

例如,访问:http://10.10.204.91:8081/druid/index.html
返回: 在这里插入图片描述
可以免授权方式直接进入 druid 管理页面。

危机分析:

druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。

解决方案:

在yml配置文件中进行账号密码配置或者禁用页面

    datasource:
        druid:
          # 配置DruidStatViewServlet
          stat-view-servlet
最低0.47元/天 解锁文章
漏洞挖掘】——90、Druid未授权访问漏洞
Fly_鹏程万里
06-14 1124
Druid是一款前端界面非常友好的数据库连接池,它可以实现监控数据源、连接池、SQL执行情况等,由于Druid的设置里面带有后台管理页面,而该页面默认是不需要登录即可访问从而造成了未授权访问漏洞,对于该漏洞,攻击者可以通过该页面直接操作数据库,甚至可以获取权限进而控制整个数据库
Alibaba Druid未授权访问漏洞记录(敏感目录,端口:不确定)
墨痕诉清风的博客
11-12 1万+
1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.2.Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控.
Druid未授权漏洞深度利用|挖洞技巧,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
04-07 1113
各位观众老爷们,今天给大家带来一场某SRC的渗透实战秀。虽然不是什么惊天大案,但绝对能给你的实战思路充充电!
Alibaba druid未授权访问漏洞
qq_61475980的博客
07-22 798
这里泄露的是登录用户的session,不管是登陆成功的,没登陆成功的,还是已经失效的都会储存在这里。有druid/weburi.html泄露的话,可以爆破这些路径。利用泄露的session去fuzz该系统登录后的界面地址。然后就找系统后台的漏洞点。
【原理扫描】Alibaba Druid 未授权访问
空空
03-24 1万+
问题描述 项目中未 Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息 原因分析: druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。 解决方案: 在yml配置文件中进行账号密码配置或者禁用页面 datasource: druid: # 配置DruidStatViewServlet stat-view-
Alibaba Druid 未授权访问
weixin_45238297的博客
11-05 4541
Alibaba Druid 未授权访问【原理扫描】 启动项目后druid的登录界面:http://localhost:8080/druid/index.html;在没有配置需要用户名和密码的情况下,会直接登录进入,如下图: 如果有配置对应的用户名和密码druid就会弹出登录界面,如下图: 弹出登录界面输入用户名和密码的配置文件路径:webapps\ROOT\WEB-INF下的web.xml文件; 下面展示配置部份代码: DruidStatView com.alibaba.
解决Alibaba Druid 未授权访问【原理扫描】
weixin_46612437的博客
09-07 4256
今天在漏洞扫描中收到了一个通报表,扫出来有一个Alibaba Druid 未授权访问【原理扫描】的漏洞,解决方法是对druid进行权限配置,接下来讲一讲怎么解决这个漏洞
Druid未授权访问漏洞修复
雅俗共赏的博客
06-13 5001
安全组针对系统漏扫发现系统存在Druid未授权访问,会引发泄露系统敏感信息。
web渗透测试漏洞复现:Druid 未授权访问
HACKONE的博客
03-20 2043
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
JavaDruid未授权访问漏洞如何处理
m0_67401660的博客
07-31 1401
druid提供监控管理页面uri使用的druid依赖版本这个被安全扫描到属于低风险漏洞druid未授权访问漏洞
druid未授权访问漏洞修复方案
men_nang的专栏
11-19 1688
需要明确: Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。修复风险: 修改配置文件需要重启业务,可能影响业务正常运行 建议 优先考虑使用1,其余方案为临时解决方案 请在测试环境试验后,再对生产环境进行修复。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。
Druid 未授权访问漏洞】解决办法
苏叶新城
07-13 1904
【代码】【Druid 未授权访问漏洞】解决办法。
Druid未授权访问解决
weixin_50003028的博客
09-03 3763
需要明确: Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。(1)可以继续使用Druid监控管理功能。
Alibaba Druid 未授权访问解决方案
J_com的博客
02-24 1199
Alibaba Druid 未授权访问解决方案
Druid未授权漏洞进一步的利用
qq_53058639的博客
02-19 6778
对于druid未授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种未授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
Java安全漏洞Druid未授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞Druid未授权访问解决
Apache Druid 代码执行漏洞(CVE-2021-25646)
qq_69775412的博客
03-08 1645
Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用,并且默认是禁用的。然而,在Druid 0.20.0及以前的版本中,攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码,而不管服务器配置如何,这将导致代码和命令执行漏洞
Apache Druid远程代码执行漏洞(CVE-2021-25646)
weixin_44047654的博客
12-05 2141
Apache Druid远程代码执行漏洞(CVE-2021-25646)
alibaba druid 未授权访问【原理扫描】
01-11
Alibaba Druid是一个用于实时分析的开源数据库,未经授权访问可能会导致安全风险和数据泄露。原理扫描是一种安全检测工具,可以帮助发现系统中存在的漏洞和安全隐患。当发现Alibaba Druid出现未授权访问的情况时,可能会存在数据被非法获取或篡改的风险,因此需要及时进行安全检测和修复。 原理扫描工具可以通过模拟攻击者的行为,对系统进行全面的扫描和检测,从而找出潜在的安全隐患。对于Alibaba Druid而言,未经授权的访问可能会导致数据库中的敏感信息被窃取,甚至被篡改,对系统安全造成严重威胁。 因此,在发现Alibaba Druid存在未授权访问的情况时,需要立即采取措施加强系统安全措施,包括但不限于修改访问权限、加强身份验证、更新安全补丁等,从而确保系统的数据安全和稳定。同时,定期使用原理扫描工具对系统进行安全检测,及时发现和解决潜在的安全问题,是保障系统安全的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值