Druid未授权访问漏洞小记

最新推荐文章于 2024-09-03 13:40:59 发布

浅若梨花笑

最新推荐文章于 2024-09-03 13:40:59 发布

阅读量4k

点赞数 6

文章标签：安全 java

本文链接：https://blog.csdn.net/niceling_99/article/details/120966876

版权

漏洞说明：Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问.

直接在网站的url中后加上：
/druid/index.html
如果可以无需登录，即可登录到Druid监控界面，则说明该网站存在Druid未授权访问漏洞！
下面是某次实测时发现的未授权访问漏洞实例：

解决方法：

在配置文件中禁用druid监控页或添加用户名密码

    spring:
      datasource:
        druid:
          stat-view-servlet:
            # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
            enabled: false
            url-pattern: '/druid/*'
            # IP白名单(没有配置或者为空，则允许所有访问)
            allow: 127.0.0.1,192.168.0.1
            # IP黑名单(存在共同时,deny优先于allow)
            deny: 192.168.0.0
            # 禁用HTML页面上的"Reset All"功能
            reset-enable: false
            # 登录名
            login-username: username
            # 登录密码
            login-password: password