某运行监管平台存在druid 未授权访问

最新推荐文章于 2023-09-07 16:54:10 发布
最新推荐文章于 2023-09-07 16:54:10 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: free 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34236803/article/details/111239343
版权

某运行监管平台存在druid 未授权访问

01漏洞标题

某运行监管平台存在druid 未授权访问

02漏洞类型

权限绕过

03漏洞等级

高危

04漏洞地址

http://xxx.xxx.xx.xxx:8001/druid/index.html

http://xxx.xxx.xx.xxx:8001/druid/sql.html

05漏洞详情

0x01

http://xxx.xxx.xx.xxx:8001/druid/index.html

存在druid 未授权访问,可直接访问监控的数据

图片

图片

图片

06漏洞危害

1、 可以直接看到后台执行的SQL数据

2、 可以直接重置平台,造成不能访问等严重问题

07建议措施

做好权限的控制,不允许不登录的用户直接访问系统内部功能。

PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负

关注链接:https://t.zsxq.com/fq3JiAq

吾爱测试
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透测试漏洞复现:Druid 授权访问
HACKONE的博客
03-20 333
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
SpringBoot导入Druid运行失败问题
09-08
主要介绍了SpringBoot导入Druid运行失败,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+mybatis+Druid 运行时动态多数据源
09-18
本demo实现的是在项目运行时,根据参数传递或其他途径获取到数据库连接配置信息,进行动态的连接创建,切换,和销毁
druid监控授权访问漏洞修复笔记
enthan809882的博客
12-31 5901
场景 安全人员提出:druid监控授权访问漏洞。 http://ip:port/druid/login.html 可以看到druid的信息。 解决方案 一般来说有两种方案: 1、页面可以展示,但是肯定不能让任何人都看到。所以需要登录账户和密码。 2、页面禁用掉,不对外展示。 方案一 添加如下代码即可: @Bean public ServletRegistrationBean druidStatViewServlet() { ServletRegistrationBean registration
SpringBoot--配置Druid(德鲁伊)数据源监控
天行健 君子以自强不息,地势坤 君子以厚德载物。
05-27 5950
1. SpringBoot–配置Druid(德鲁伊)数据源监控 Druid 数据源具有监控的功能,并提供了一个 web 界面方便用户查看,类似安装 路由器 时,人家也提供了一个默认的 web 页面。所以第一步需要设置 Druid 的后台管理页面,比如 登录账号、密码 等;配置后台管理; 1.1 配置Druid数据源监控 DruidConfig.java package com.tian.springbootdatajdbc.config; import com.alibaba.druid.pool.D
Spring boot、Spring Security和Druid集成后,因csrf校验开启,不能登录http://localhost:8086/druid/login.html的解决办法
QUDIHUAI的专栏
12-07 5531
Spring boot、Spring Security和Druid集成后,druid部分配置如下 spring:   datasource:     druid:       stat-view-servlet.enabled: true       stat-view-servlet.url-pattern: /druid/* 因为默认开启csrf校验校验,所以进入http://local...
druid监控页面授权访问漏洞
m0_37354578的博客
06-30 1万+
一、项目环境 SpringBoot Version:2.4.5 二、问题场景 项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g
SpringBoot druid监控授权访问漏洞
MonsterTiny的博客
08-18 8474
druid作为数据库连接池,默认配置监控存在漏洞,可以通过直接通过GET /druid/index.html 直接访问存在数据库数据泄露的风险。 解决方法: 在配置文件中禁用druid监控页或添加用户名密码 spring: datasource: druid: stat-view-servlet: # 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动 enabled: false u
Druid 统计监控页面无法打开
qq_37393071的博客
05-01 5238
问题描述 最近在练习整合 Springboot + Druid,却发现当我在 yml 中配置好 Druid 后,系统总是出现 404 错误。 解决方法 搜集了网上的很多资料之后,我得到了两种总结的方法。 1. yml 配置 对于 Druid 依赖,有两种:druiddruid-spring-boot-starter。当我使用前者进行 yml 配置后,无法正确进入控制页面,使用后者即可。 补充一句,在我查到的很多博客中,有人将 1.1.20 版本降级后,出现了正确的页面,我自己测试 1.1.10 和 1
关闭druid监控页面
Milkhk的博客
08-22 1531
如何关闭 druid监控页面,一直不想改代码,连接池啥的,只想改配置文件,网上各式各样的配置文件都试了没有,还是能访问到 、druid/index.html 页面, 就在一筹莫展的时候,同事说那你直接给这个页面拦截了不行吗,真是一语点醒梦中人啊,然后重启 nginx服务后,果然 druid/index.html 访问不到了,解决了一个安全漏洞~
【SpringBoot项目】Druid授权访问漏洞 禁用Druid Monitor
AlbenXie的博客
03-30 2447
是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问
Java安全漏洞:Druid授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞:Druid授权访问解决
阿里巴巴数据库连接池druid及其源码
05-28
阿里巴巴数据库连接池druid及其源码: Druid是Java语言中最好的数据库连接池。Druid能够提供强大的监控和扩展功能。
druid-1.1.10_采集_druid-1.1.10_Druid_
10-03
Druid首先是一个数据库连接池。Druid连接池是阿里巴巴开源的数据库连接池项目。Druid连接池为监控而生,内置强大的监控功能,监控特性不影响性能。内置了StatFilter功能,能采集非常完备的连接池执行信息,Druid连接...
druid-1.0.9
12-23
内容概要:Druid数据库连接池 适用人群:学习java连接mysql的初学者 使用场景:数据库连接池 其他说明:在IDEA中,将jar包拷贝到项目中,右键导入到库。
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言为java,druid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
解决Alibaba Druid 授权访问【原理扫描】
weixin_46612437的博客
09-07 2042
今天在漏洞扫描中收到了一个通报表,扫出来有一个Alibaba Druid 授权访问【原理扫描】的漏洞,解决方法是对druid进行权限配置,接下来讲一讲怎么解决这个漏洞。
SpringBoot关闭druid的页面和添加密码验证
yumi520的博客
10-20 1938
druid: stat-view-servlet: # 是否启用StatViewServlet(监控页面)false为不启动 enabled: true url-pattern: '/druid/*' # IP白名单(没有配置或者为空,则允许所有访问) allow: 127.0.0.1,192.168.0.1 # IP黑名单 (存在共同时,deny优先于allow) deny: 192.168.0.0 # 禁用HTML页面上的“Reset All”功能 reset-e
记录一次SpringBoot + Druid 导致/druid/index.html 404问题
℡メ㏑╭ァ小凯
02-02 3181
记得以前项目中Drui的 index页面可以正常访问的,今天突然发现直接访问404.Security的授权配置,发现没问题。StaticRes静态资源授权配置。3、最后对比App的配置文件发现。后期估计拷贝属性的时候写错了。
druid授权访问
最新发布
09-16
在计算机术语中,"druid授权访问"是指Apache Druid(一种为大数据实时分析而设计的开源分布式数据存储系统)不能执行请求的操作,因为请求的用户没有足够的权限。这通常发生在用户尝试访问受保护的资源,或者他们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值