漏洞安全
满船清梦压星河~
这个作者很懒,什么都没留下…
展开
-
【原理扫描】Alibaba Druid 未授权访问
问题描述项目中未Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息原因分析:druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。解决方案:在yml配置文件中进行账号密码配置或者禁用页面 datasource: druid: # 配置DruidStatViewServlet stat-view-原创 2022-03-24 11:26:40 · 10489 阅读 · 3 评论 -
【原理扫描】Spring Boot Actuator未授权访问漏洞
问题描述Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。漏洞场景:注:对于Spring 1x,它们在根URL下注册,并且在2x中它们移动到“/actuator/”基本路径。例如:http://ip:port/actuator/en原创 2022-03-24 11:09:55 · 17438 阅读 · 2 评论