漏洞描述
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。
解决建议
需要同时修改SpringBoot中的application.yml文件和Java代码中的config代码配置
代码如下所示:
yml文件文件配置如下:
spring:
datasource:
type: com.alibaba.druid.pool.DruidDataSource
driverClassName: com.mysql.jdbc.Driver
druid:
stat-view-servlet:
# 是否启用StatViewServlet(监控页面)false为不启动
enabled: false
Java代码配置如下:
@Configuration
public class DruidConfig {
@Bean
public ServletRegistrationBean druidServlet() {
ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
servletRegistrationBean.setServlet(new StatViewServlet());
servletRegistrationBean.setEnabled(false);
return servletRegistrationBean;
}
}
小tip:记得两个要同时配置才能生效!