【Java】Druid未授权访问漏洞如何处理

最新推荐文章于 2024-07-13 17:26:25 发布

m0_67401660

最新推荐文章于 2024-07-13 17:26:25 发布

阅读量1.2k

点赞数

分类专栏：面试学习路线阿里巴巴文章标签： android 前端后端

本文链接：https://blog.csdn.net/m0_67401660/article/details/126080584

版权

本文介绍了Java项目中遇到的Druid未授权访问漏洞，该漏洞为低风险级别。解决办法包括升级Druid依赖至1.2.6版本，并在`application.yml`配置文件中设置`deny`规则，如`deny: 192.168.10.1`，以限制特定IP访问Druid监控页面。

摘要由CSDN通过智能技术生成

1.druid未授权访问漏洞

druid提供监控管理页面

uri?http://localhost:8089/druid/index.html

使用的druid依赖版本

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactId>
        <version>1.1.9</version>
    </dependency>

这个被安全扫描到属于低风险漏洞druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6，更多版本可以自己去maven找

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactI

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0_67401660

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
【Java】Druid未授权访问漏洞如何处理

druid提供监控管理页面uri使用的druid依赖版本这个被安全扫描到属于低风险漏洞druid未授权访问漏洞。
复制链接

扫一扫

专栏目录

web渗透测试漏洞复现：Druid 未授权访问

HACKONE的博客

03-20

1186

Druid是一个高效的数据查询系统，主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件，事实发生后进入Druid，外部系统就可以对该事实进行查询。为了彻底避免未授权访问风险，如果不需要使用或者很少使用Druid的监控功能，可以尝试彻底禁用Druid监控页，这种做法比较简单粗暴，有利有弊。Druid是一个分布式数据分析平台，也是一个时序数据库，也是一个集群系统，使用zookeeper做节点管理和事件监控。（2）可能影响使用习惯，可能影响工作的开展，降低Druid管理的便利性。

【漏洞复现】若依druid 未授权访问漏洞

qq_67810151的博客

04-30

1738

若依（Ruoyi）框架存在未授权访问漏洞，攻击者可以通过该漏洞获取大量敏感信息。

参与评论您还未登录，请先登录后发表或查看评论

Druid未授权访问漏洞复现

Boom！脑洞大爆炸的博客

11-11

6396

Druid未授权访问漏洞复现

【Druid 未授权访问漏洞】解决办法

最新发布

苏叶新城

07-13

621

【代码】【Druid 未授权访问漏洞】解决办法。

Druid未授权访问漏洞修复

雅俗共赏的博客

06-13

2251

安全组针对系统漏扫发现系统存在Druid未授权访问，会引发泄露系统敏感信息。

Java安全漏洞：Druid未授权访问解决

qq_46119575的博客

01-04

2万+

Java安全漏洞：Druid未授权访问解决

解决Alibaba Druid 未授权访问【原理扫描】

weixin_46612437的博客

09-07

3021

今天在漏洞扫描中收到了一个通报表，扫出来有一个Alibaba Druid 未授权访问【原理扫描】的漏洞，解决方法是对druid进行权限配置，接下来讲一讲怎么解决这个漏洞。

Druid未授权漏洞进一步的利用

qq_50854662的博客

05-15

7144

Druid未授权漏洞实战利用思路

【springboot漏洞】Druid未授权访问漏洞，修复思路。springboot

游游的小博客

01-20

6626

Druid未授权访问漏洞，修复思路漏洞描述解决建议漏洞描述漏洞描述： Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。解决建议解决建议：修改中间件配置给出的例子，springboot的配置 spring: datasource: druid: max-active: 10 mi

未授权访问漏洞

snowy_y的博客

06-23

917

未授权访问

Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复

songshao の blog

06-24

1万+

Spring Boot Actuator未授权访问漏洞详细描述 Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。解决办法 1.配置认证在项目的pom.xml文件下引入spring-boot-starter-security依赖

Apache druid未授权命令执行漏洞复现

YJ_12340的博客

03-03

969

Apache Druid是一个实时分析型数据库，旨在对大型数据集进行快速的查询分析（"OLAP"查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景，同时，Druid也通常被用来助力分析型应用的图形化界面，或者当做需要快速聚合的高并发后端API，Druid最适合应用于面向事件类型的数据。此课程不仅会添加以往的安全事件，而且还会紧跟时事，去添加最新的安全事件。构造payload执行命令，这里做一个反弹shell的操作。下载后执行以下命令解压并启动漏洞环境。

【漏洞】【Druid】Druid未授权访问漏洞，修复方案。springboot

热门推荐

a987212198的博客

01-20

3万+

druid监控页面未授权访问漏洞

m0_37354578的博客

06-30

1万+

一、项目环境 SpringBoot Version：2.4.5 二、问题场景项目中引入druid-spring-boot-starter，且spring.datasource.druid.stat-view-servlet.enabled配置为true时，可以直接访问Druid Monitor监控平台，可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g

druid未授权命令执行漏洞复现(CVE-2021-25646)

尘玥的故事

06-01

824

由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。druid未授权命令执行漏洞复现(CVE-2021-25646)

Druid未授权访问漏洞

06-06

Druid未授权访问漏洞是指攻击者可以通过未授权访问的方式，获取到Druid系统中的敏感信息。Druid是一款开源分布式的实时数据处理系统，广泛应用于大数据领域。由于Druid默认安装时未对其管理界面进行访问控制，因此攻击者可以通过访问Druid默认管理界面（如/druid/index.html）的方式获取到系统中的敏感信息，例如：数据源、查询历史、访问日志等。攻击者可以通过Druid未授权访问漏洞窃取敏感信息，进而发起更高级的攻击，例如：SQL注入、远程命令执行等。修复Druid未授权访问漏洞，可以采取以下措施： - 修改Druid默认配置，对管理界面进行访问控制，例如通过添加用户名密码认证、IP白名单等方式； - 及时升级Druid到最新版本，新版本已经修复了未授权访问漏洞； - 对Druid进行定期安全检查，及时发现并修复漏洞。此外，为了增强系统的安全性，建议不要将Druid管理界面直接暴露在公网上，最好通过VPN等安全通道进行访问。