漏洞说明:Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问.
直接在网站的url中后加上:
/druid/index.html
如果可以无需登录,即可登录到Druid监控界面,则说明该网站存在Druid未授权访问漏洞!
下面是某次实测时发现的未授权访问漏洞实例:
解决方法:
在配置文件中禁用druid监控页或添加用户名密码
spring:
datasource:
druid:
stat-view-servlet:
# 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
enabled: false
url-pattern: '/druid/*'
# IP白名单(没有配置或者为空,则允许所有访问)
allow: 127.0.0.1,192.168.0.1
# IP黑名单(存在共同时,deny优先于allow)
deny: 192.168.0.0
# 禁用HTML页面上的"Reset All"功能
reset-enable: false
# 登录名
login-username: username
# 登录密码
login-password: password