druid监控页面未授权访问漏洞

最新推荐文章于 2024-02-23 00:49:26 发布
最新推荐文章于 2024-02-23 00:49:26 发布
阅读量1.1w 收藏 10
点赞数 1
分类专栏: springboot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37354578/article/details/118363593
版权

一、项目环境

SpringBoot Version:2.4.5

注:部分配置需要根据Springboot版本做相应调整。

二、问题场景

项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取

<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>druid-spring-boot-starter</artifactId>
	<version>1.1.16</version>
</dependency>
spring.datasource.druid.stat-view-servlet.enabled=true

 访问路径地址:http://应用IP:应用端口/druid/index.html

最低0.47元/天 解锁文章
ALiang哥
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】若依druid 授权访问漏洞
qq_67810151的博客
04-30 869
若依(Ruoyi)框架存在授权访问漏洞,攻击者可以通过该漏洞获取大量敏感信息。
Druid数据源配置监控页面(Demo)
08-06
SpringBoot,idea,演示了使用Druid数据源监控页面的配置和使用
Goby 最全最新POC共计448个
08-30
Goby 最全最新POC共计448个 包含了致远OA A6 用户敏感信息泄露、Apache_Druid_Log4shell_CVE_2021_44228、Apache_JSPWiki_Log4shell_CVE-2021-44228、VMware_NSX_Log4shell_CVE_2021_44228、VMware_vCenter_Log4shell_CVE_2021_44228_1、Wayos AC集中管理系统默认弱口令 CNVD-2021-00876、Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109、XXL-JOB 任务调度中心 后台默认弱口令、帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757、锐捷NBR路由器 EWEB网管系统 远程命令执行漏洞、蜂网互联 企业级路由器v4.31 密码泄露漏洞 CVE-2019-16313、Oracle_Weblogic_SearchPublicRegistries.jsp_SSRF_CVE_2014_4210、Micro_module_monitoring_system_User_list.php_
浅析SpringBoot框架常见授权访问漏洞
最新发布
道阻且长,行则将至。
02-23 5683
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
SpringBoot项目】Druid授权访问漏洞 禁用Druid Monitor
qq_48718409的博客
03-01 3642
漏洞描述 Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问。 解决建议 需要同时修改SpringBoot中的application.yml文件和Java代码中的config代码配置 代码如下所示: yml文件文件配置如下: spring: datasource: type: com.alibaba.dr
【Java】Druid授权访问漏洞如何处理
姜太小白的博客
07-06 8732
Druid授权访问漏洞如何处理
Druid Monitor监控
阿布哥的读书笔记
11-17 8527
Druid是一个非常好用的数据库连接池,但是他的好并不止体现在作为一个连接池加快数据访问性能上和连接管理上,他带有一个强大的监控工具:Druid Monitor。不仅可以监控数据源和慢查询,还可以监控Web应用、URI监控、Session监控Spring监控。 能动手,尽量别BB... 详细操作如下: pom.xml 配置: <!--连接池druid --> <d...
SpringBoot 整合 druid Monitor进行sql监控
12程序猿的博客
03-11 4131
使用springboot集成druid-Monitor进行sql监控、数据源监控,sql慢查询监控。 一、前言 软件架构: springboot框架 druid地址池 mybatis Druid 简介 Druid 是阿里巴巴开源的数据库连接池,提供了优秀的对数据库操作的监控功能。 Druid的好并不止体现在作为一个连接池加快数据访问性能上和连接管理上,他带有一个强大的监控工具:Druid Monitor。 不仅可以监控数据源和慢查询,还可以监控Web应用、URI监控、Session监控Spring监控
Apache Druid 命令执行漏洞(CVE-2021-25646)复现及排查
dayouzi的博客
08-15 325
Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。另外,Druid 还有一个关键的特点:它支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中用到它。在Druid 0.20.0及更低版本中,用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。
[Spring druid] 禁用druid相关页面
wo1121113522的博客
03-26 2263
配置文件中添加 spring.datasource.druid.stat-view-servlet.enabled=false
Druid 德鲁伊 | 安装、使用指南
devops
08-16 2341
druid是阿里开源的一个数据库连接池的解决方案。它本身还自带一个监控平台,可以查看时时产生的sql、uri等监控数据,可以排查慢sql、慢请求,方便对sql和项目代码进行调优。
去除druid监控的阿里广告
01-22
java集成阿里云的druid数据监控,但是下面有广告,如何去除druid监控的阿里广告,分享给大家
Druid监控分布式解决方案.docx
10-26
Druid Admin 的监控维度包括数据源监控、慢查询监控、Web 应用监控、URI 监控、Session 监控Spring 监控等,提供了一个完整的监控解决方案。 9. Druid Admin 的集成 Spring Boot Admin Druid Admin 可以与 ...
SpringBoot集成阿里巴巴Druid监控的示例代码
08-27
SpringBoot集成阿里巴巴Druid监控的示例代码 SpringBoot集成阿里巴巴Druid监控的示例代码是指在SpringBoot项目中集成阿里巴巴开源的数据库连接池Druid,以实现对数据库操作的监控功能。Druid是阿里巴巴开源的...
druid 阿里监控
06-21
完整详细的druid阿里监控教程
druid-springboot-starter默认启用监控页面,公网项目可能泄漏DB信息
weixin_34176694的博客
01-07 3174
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 5874
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
解决druid 后台弱口令漏洞springboot,亲测可用
weixin_42279465的博客
02-24 3660
druid 后台弱口令漏洞,综合利用漏洞,攻击者可以 登入系统数据库获取敏感数据,上传木马后门,存在安全隐患,具体 情况详情请见验证情况。Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入。即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。修改application.properties文件。
Druid授权访问漏洞
06-06
Druid授权访问漏洞是指攻击者可以通过授权访问的方式,获取到Druid系统中的敏感信息。Druid是一款开源分布式的实时数据处理系统,广泛应用于大数据领域。由于Druid默认安装时对其管理界面进行访问控制,因此攻击者可以通过访问Druid默认管理界面(如/druid/index.html)的方式获取到系统中的敏感信息,例如:数据源、查询历史、访问日志等。 攻击者可以通过Druid授权访问漏洞窃取敏感信息,进而发起更高级的攻击,例如:SQL注入、远程命令执行等。 修复Druid授权访问漏洞,可以采取以下措施: - 修改Druid默认配置,对管理界面进行访问控制,例如通过添加用户名密码认证、IP白名单等方式; - 及时升级Druid到最新版本,新版本已经修复了授权访问漏洞; - 对Druid进行定期安全检查,及时发现并修复漏洞。 此外,为了增强系统的安全性,建议不要将Druid管理界面直接暴露在公网上,最好通过VPN等安全通道进行访问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值