Java安全漏洞:Druid未授权访问解决

已于 2023-01-10 18:39:09 修改
阅读量2.4w 收藏 57
点赞数 10
文章标签: java 数据库 开发语言 系统安全 安全
于 2023-01-04 15:21:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46119575/article/details/128542168
版权

Java安全漏洞:Druid未授权访问

前言

相信很多朋友在服务器安全扫描的时候,遇到过Druid未授权访问低风险漏洞提示。本文先对Druid未授权访问漏洞进行介绍和分析,最后给出两种解决办法,供大家参考。

一、Druid未授权访问原因分析

漏洞说明:Druid由阿里巴巴数据库出品,为监控而生的数据库连接池,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。

需要明确: Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。

具体示例如图所示:
Alt

二、解决办法

1.添加登录用户名密码

未授权访问的常见原因:
(1)攻击者可以不输入账号密码即可访问管理页面
(2)或者是攻击者输入常见账号密码,比如账号:root,密码:123456等这种保密性很低的账号密码,即可访问管理页面。

以上这两种情况,都可以通过添加复杂的登录账号密码来解决。只要账号密码没有被掌握,可以很大程度避免未授权访问问题。

优点:
(1)可以继续使用Druid监控管理功能
(2)对用户使用习惯影响较小

缺点:
(1)为了尽可能降低风险,账号密码需要不定期更换,密码难度等级需要设定较高
(2)理论上来说仍然存在被攻击的可能性

具体解决方法(二选一):
(1)可以在druidConfig中配置:

@Bean
    public ServletRegistrationBean druidServlet() {
        ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
        servletRegistrationBean.setServlet(new StatViewServlet());
        servletRegistrationBean.addUrlMappings("/druid/*");
        Map<String, String> initParameters = new HashMap<>();
        initParameters.put("resetEnable", "false"); //禁用HTML页面上的“Rest All”功能
        initParameters.put("allow", "10.8.9.115");  //ip白名单(没有配置或者为空,则允许所有访问)
        initParameters.put("loginUsername", "admin");  //++监控页面登录用户名
        initParameters.put("loginPassword", "123.admin");  //++监控页面登录用户密码
        initParameters.put("deny", ""); //ip黑名单
        //如果某个ip同时存在,deny优先于allow
        servletRegistrationBean.setInitParameters(initParameters);
        return servletRegistrationBean;
    }

(2)也可以在web.xml中配置

<!-- 配置 Druid 监控信息显示页面 -->
	<servlet>
		<servlet-name>DruidStatView</servlet-name>
		<servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>
		<init-param>
			<!-- 允许清空统计数据 -->
			<param-name>resetEnable</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<!-- 用户名 -->
			<param-name>loginUsername</param-name>
			<param-value>druid</param-value>
		</init-param>
		<init-param>
			<!-- 密码 -->
			<param-name>loginPassword</param-name>
			<param-value>druid</param-value>
		</init-param>
	</servlet>
	<servlet-mapping>
		<servlet-name>DruidStatView</servlet-name>
		<url-pattern>/druid/*</url-pattern>
	</servlet-mapping>

2.禁用Druid监控页功能

为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。

优点:
(1)彻底避免未授权访问风险
(2)配置起来比较更加简单,禁用后无需再关心密码被破解问题

缺点:
(1)彻底禁用后,自己也无法使用Druid监控页功能
(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性

application.properties配置文件中添加一行代码即可:

#是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
spring.datasource.druid.stat-view-servlet.enabled=false

总结

本文对Druid未授权访问漏洞进行了介绍和分析,并给出了两种常见的解决办法,可以按照自己的需求来选择解决办法。
个人建议: 如果用不到Druid监控页管理功能可以考虑彻底关掉,这样后期比较省心。
希望对大家有用!

参考链接:
Spring Boot druid监控页添加登录访问权限(用户名+密码)
为Druid监控配置访问权限(配置访问监控信息的用户与密码)

懂事的观众GPT
关注
  • 10
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】若依druid 授权访问漏洞
qq_67810151的博客
04-30 791
若依(Ruoyi)框架存在授权访问漏洞,攻击者可以通过该漏洞获取大量敏感信息。
java开源包1
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java.applet.Applet 简单实现!~ 网页表格组件 GWT Advanced Table GWT Advanced Table 是一个基于 GWT 框架的网页表格组件,可实现分页数据显示、数据排序和过滤等功能! Google Tag Library 该标记库和 Google 有关。使用该标记库,利用 Google 为你的网站提供网站查询,并且可以直接在你的网页里面显示搜查的结果。 github-java-api github-java-api 是 Github 网站 API 的 Java 语言版本。 java缓存工具 SimpleCache SimpleCache 是一个简单易用的java缓存工具,用来简化缓存代码的编写,让你摆脱单调乏味的重复工作!1. 完全透明的缓存支持,对业务代码零侵入 2. 支持使用Redis和Memcached作为后端缓存。3. 支持缓存数据分区规则的定义 4. 使用redis作缓存时,支持list类型的高级数据结构,更适合论坛帖子列表这种类型的数据 5. 支持混合使用redis缓存和memcached缓存。可以将列表数据缓存到redis中,其他kv结构数据继续缓存到memcached 6. 支持redis的主从集群,可以做读写分离。缓存读取自redis的slave节点,写入到redis的master节点。 Java对象的SQL接口 JoSQL JoSQL(SQLforJavaObjects)为Java开发者提供运用SQL语句来操作Java对象集的能力.利用JoSQL可以像操作数据库中的数据一样对任何Java对象集进行查询,排序,分组。 搜索自动提示 Autotips AutoTips是为解决应用系统对于【自动提示】的需要(如:Google搜索), 而开发的架构无关的公共控件, 以满足该类需求可以通过快速配置来开发。AutoTips基于搜索引擎Apache Lucene实现。AutoTips提供统一UI。 WAP浏览器 j2wap j2wap 是一个基于Java的WAP浏览器,目前处于BETA测试阶段。它支持WAP 1.2规范,除了WTLS 和WBMP。 Java注册表操作类 jared jared是一个用来操作Windows注册表的 Java 类库,你可以用来对注册表信息进行读写。 GIF动画制作工具 GiftedMotion GiftedMotion是一个很小的,免费而且易于使用图像互换格式动画是能够设计一个有趣的动画了一系列的数字图像。使用简便和直截了当,用户只需要加载的图片和调整帧您想要的,如位置,时间显示和处理方法前帧。 Java的PList类库 Blister Blister是一个用于操作苹果二进制PList文件格式的Java开源类库(可用于发送数据给iOS应用程序)。 重复文件检查工具 FindDup.tar FindDup 是一个简单易用的工具,用来检查计算机上重复的文件。 OpenID的Java客户端 JOpenID JOpenID是一个轻量级的OpenID 2.0 Java客户端,仅50KB+(含源代码),允许任何Web网站通过OpenID支持用户直接登录而无需注册,例如Google Account或Yahoo Account。 JActor的文件持久化组件 JFile JFile 是 JActor 的文件持久化组件,以及一个高吞吐量的可靠事务日志组件。 Google地图JSP标签库 利用Google:maps JSP标签库就能够在你的Web站点上实现GoogleMaps的所有功能而且不需要javascript或AJAX编程。它还能够与JSTL相结合生成数据库驱动的动态Maps。 OAuth 实现框架 Agorava Agorava 是一个实现了 OAuth 1.0a 和 OAuth 2.0 的框架,提供了简单的方式通过社交媒体进行身份认证的功能。 Eclipse的JavaScript插件 JSEditor JSEditor 是 Eclipse 下编辑 JavaScript 源码的插件,提供语法高亮以及一些通用的面向对象方法。 Java数据库连接池 BoneCP BoneCP 是一个高性能的开源java数据库连接池实现库。它的设计初衷就是为了提高数据库连接池的性能,根据某些测试数据发现,BoneCP是最快的连接池。BoneCP很小,只有四十几K
druid监控页授权访问漏洞修复笔记
enthan809882的博客
12-31 5999
场景 安全人员提出:druid监控页授权访问漏洞。 http://ip:port/druid/login.html 可以看到druid的信息。 解决方案 一般来说有两种方案: 1、页面可以展示,但是肯定不能让任何人都看到。所以需要登录账户和密码。 2、页面禁用掉,不对外展示。 方案一 添加如下代码即可: @Bean public ServletRegistrationBean druidStatViewServlet() { ServletRegistrationBean registration
漏洞】【DruidDruid授权访问漏洞修复方案。springboot
热门推荐
a987212198的博客
01-20 3万+
Druid授权访问漏洞修复思路漏洞描述解决建议 漏洞描述 漏洞描述: Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问解决建议 解决建议: 修改中间件配置 给出的例子,springboot的配置 spring: datasource: druid: max-active: 10 mi
Alibaba Druid 授权访问
weixin_45238297的博客
11-05 4344
Alibaba Druid 授权访问【原理扫描】 启动项目后druid的登录界面:http://localhost:8080/druid/index.html;在没有配置需要用户名和密码的情况下,会直接登录进入,如下图: 如果有配置对应的用户名和密码druid就会弹出登录界面,如下图: 弹出登录界面输入用户名和密码的配置文件路径:webapps\ROOT\WEB-INF下的web.xml文件; 下面展示配置部份代码: DruidStatView com.alibaba.
Druid授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6169
Druid授权访问 漏洞复现
Druid授权漏洞进一步的利用
qq_50854662的博客
05-15 6158
Druid授权漏洞实战利用思路
Druid授权高危漏洞复现方法
weixin_68647219的博客
07-28 5113
证明漏洞存在,泄露了网站后台功能模块的url地址,大多数都是一些api接口,有时候也会泄露一些敏感文件。这里泄露的主要是登录用户的session,不管是登陆成功的,没登陆成功的,还是失效的都会储存在这里。是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问。4.利用session,替换cookie,绕过登录验证,成功登录。
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言javadruid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
JAVA上百实例源码以及开源项目
01-03
 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流。 Java绘制图片火焰效果 1个目标文件 摘要:Java源码,图形操作,火焰...
JAVA上百实例源码以及开源项目源代码
12-11
Java访问权限控制源代码 1个目标文件 摘要:Java源码,文件操作,权限控制 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流...
java开源包11
06-28
JSTUN 是另外一个用来解决穿越 NAT 进行通讯的 Java 解决方案,是 STUN 协议的 Java实现。 在浏览器上运行Java程序 Doppio DoppioVM 是一个可在浏览器上直接运行 Java 项目的系统,无需任何插件支持。目前它包含一...
Spring Boot Actuator授权访问漏洞和Apache Druid 漏洞修复
songshao の blog
06-24 1万+
Spring Boot Actuator授权访问漏洞 详细描述 ​ Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 解决办法 1.配置认证 在项目的pom.xml文件下引入spring-boot-starter-security依赖
web渗透测试漏洞复现:Druid 授权访问
HACKONE的博客
03-20 733
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
Druid授权访问漏洞修复
最新发布
雅俗共赏的博客
06-13 365
安全组针对系统漏扫发现系统存在Druid授权访问,会引发泄露系统敏感信息。
解决Alibaba Druid 授权访问【原理扫描】
weixin_46612437的博客
09-07 2310
今天在漏洞扫描中收到了一个通报表,扫出来有一个Alibaba Druid 授权访问【原理扫描】的漏洞解决方法是对druid进行权限配置,接下来讲一讲怎么解决这个漏洞
JavaDruid授权访问漏洞如何处理
姜太小白的博客
07-06 8724
Druid授权访问漏洞如何处理
Druid授权访问漏洞解决方法
06-03
Druid授权访问漏洞是一种常见的安全漏洞。攻击者可以通过该漏洞授权访问Druid集群中的敏感数据。 解决Druid授权访问漏洞的方法如下: 1. 配置Druid安全认证:Druid提供了基于角色的访问控制(Role-Based Access Control,RBAC)机制,可以通过配置Druid安全认证来限制用户的访问权限。 2. 使用防火墙:使用防火墙来限制Druid访问权限,只允许指定的IP地址或网络访问Druid集群。 3. 更新Druid版本:及时更新Druid版本,修复已知的漏洞,减少安全风险。 4. 限制Druid访问端口:将Druid集群的访问端口限制在内部网络中,避免在公共网络中直接暴露Druid访问端口。 总之,保障Druid集群的安全对于数据安全具有重要意义,需要采取一系列措施来减少安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值