【SpringBoot项目】Druid未授权访问漏洞 禁用Druid Monitor

最新推荐文章于 2024-06-07 12:05:22 发布
最新推荐文章于 2024-06-07 12:05:22 发布
阅读量3.6k 收藏 4
点赞数 4
分类专栏: 开发时遇到的bug 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48718409/article/details/123201948
版权

漏洞描述

Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。

解决建议

需要同时修改SpringBoot中的application.yml文件和Java代码中的config代码配置
代码如下所示:

yml文件文件配置如下:

spring:
    datasource:
        type: com.alibaba.druid.pool.DruidDataSource
        driverClassName: com.mysql.jdbc.Driver
        druid:
            stat-view-servlet:
                # 是否启用StatViewServlet(监控页面)false为不启动
                enabled: false

Java代码配置如下:

@Configuration
public class DruidConfig {

    @Bean
    public ServletRegistrationBean druidServlet() {
        ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
        servletRegistrationBean.setServlet(new StatViewServlet());
        servletRegistrationBean.setEnabled(false);
        return servletRegistrationBean;
    }

}

小tip:记得两个要同时配置才能生效!

柳小同学
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
druid监控页面授权访问漏洞
m0_37354578的博客
06-30 1万+
一、项目环境 SpringBoot Version:2.4.5 二、问题场景 项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g
druid-monitor:基于Druid的监控系统
03-11
德鲁伊显示器 德鲁伊显示器
Druid 监控分布式解决方案
冷冷的博客
10-21 1743
什么是 Druid Monitor Druid 是一个非常强大的数据库连接池,但是它的强大并不仅仅体现在作为一个高性能连接池加快数据访问上和连接管理上,它内置了一个强大的监控工具:Druid Monitor。不仅可以监控数据源和慢查询,还可以监控 Web 应用、URI 监控、Session 监控、Spring 监控等。 ip:port/druid/sql.html 什么是 Druid Admin 如上文所述, Druid Monitor 提供强大的监控能力,但目前仅是针对对单个服务实例的监控。 在
上心师傅的思路分享(二)--Druid monitor
最新发布
weixin_72543266的博客
06-07 1139
最近回顾看一下上心师傅在上课时分享的渗透思路,结合我个人的实战案例与利用方式加以总结和记录,其中包含上心师傅上课时讲的我之前遇到过的Springboot报错界面druid的渗透思路以及我自己在springboot界面遇到的漏洞利用方式进行总结,下面的思路中的漏洞都是我遇到过的,刚好进行一波复盘.免责声明博文中涉及的方法可能带有危害性,博文中的图片中的域名展示仅供参考,并不具有威胁性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任.
druid数据源-监控
追逐消失的记忆
04-28 788
基于阿里巴巴的数据库连接池druid的中间件,我们们可以通过配置druid的数据监控配置,实现对sql数据操作的监控 引人spring-mybatis.xml的配置 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xml...
对阿里开源插件Durid Monitor的一些简单改造
敲代码的小小酥的博客
06-13 457
Druid 中/druid的请求是如何跳转的
使用阿里druid关闭stat-view-servlet,和swagger-ui.html不可用
帅雷雷-kimo的博客
08-16 5175
使用阿里druid关闭stat-view-servlet,和swagger-ui.html不可用
某运行监管平台存在druid 授权访问
文公子的博客
12-15 3216
某运行监管平台存在druid 授权访问 01漏洞标题 某运行监管平台存在druid 授权访问 02漏洞类型 权限绕过 03漏洞等级 高危 04漏洞地址 http://xxx.xxx.xx.xxx:8001/druid/index.html http://xxx.xxx.xx.xxx:8001/druid/sql.html 05漏洞详情 0x01 http://xxx.xxx.xx.xxx:8001/druid/index.html 存在druid 授权访问,可直接访问监控的数据 06漏洞危害 1
SpringBoot(七)SpringBoot整合Druid实现数据库密码加密.pdf
03-07
SpringBoot(七)SpringBoot整合Druid实现数据库密码加密 SpringBoot(七)SpringBoot整合Druid实现数据库密码加密 SpringBoot(七)SpringBoot整合Druid实现数据库密码加密
Springboot整合Druid与Mybatis的多数据源切换
10-17
本教程将详细介绍如何在Spring Boot项目中整合Druid数据源池与Mybatis,实现多数据源切换的功能,并提供一个亲测可用的解决方案。 首先,让我们了解Spring BootDruid和Mybatis这三大组件的基础知识: **Spring ...
SpringBoot整合Druid数据库连接池的方法
08-18
在本文中,我们将讨论如何在SpringBoot项目中整合Druid数据库连接池。DruidJava语言中最好的数据库连接池,能够提供强大的监控和扩展功能。 什么是DruidDruidJava语言中最好的数据库连接池。它能够提供强大...
springboot + druid
04-27
最近项目中用到微服务提供ElasticSearch数据源,由于列可配置,采用JDBC的方式,查询很多资源,没有想要的,在别人的基础上自己调试成功了一套代码,采用最新的SpringBoot,并且用Junit可以调试。希望能够给新入门的...
springboot配置druid连接池的方法示例
08-26
Druid 是一个功能强大、性能高效的数据库连接池,它提供了多种功能,如监控数据库访问性能、数据库密码加密、SQL 执行日志等。下面将介绍如何在 Spring Boot 项目中配置 Druid 连接池。 Druid 的简介 Druid 是阿里...
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言为javadruid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
[Spring druid] 禁用druid相关页面
wo1121113522的博客
03-26 2280
配置文件中添加 spring.datasource.druid.stat-view-servlet.enabled=false
SpringBoot 关闭druid的页面
wppwpp1的专栏
06-28 4200
因安全原因,公网的druid后台管理页面需要关闭,则在yaml配置一下即可。 spring: datasource: name: mysql_crgt type: com.alibaba.druid.pool.DruidDataSource #druid相关配置 druid: #enabled 则false则关闭 stat-view-servlet: enabled: false ...
Druid监控配置访问权限(配置访问监控信息的用户与密码)
热门推荐
铁锚的CSDN博客
09-25 7万+
本文介绍如何为JDBC数据库连接池 Druid 内置的状态监控程序配置访问权限和用户密码。
SpringBoot集成Druid监控数据源配置,访问监控页面
xtho62的博客
09-23 1940
Druid 介绍 Druid首先是一个数据库连接池。Druid是目前最好的数据库连接池,在功能、性能、扩展性方面,都超过其他数据库连接池,包括DBCP、C3P0、BoneCP、Proxool、JBoss DataSource。Druid已经在阿里巴巴部署了超过600个应用,经过一年多生产环境大规模部署的严苛考验。Druid是阿里巴巴开发的号称为监控而生的数据库连接池! Druid是一个JDBC组件,它包括三个部分: 基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的
springboot项目如何通过配置文件配置解决Druid授权访问漏洞 禁用Druid Monitor
06-10
可以通过在配置文件中添加以下配置来解决Druid授权访问漏洞禁用Druid Monitor: ```yaml # 禁用Druid Monitor spring.datasource.druid.stat-view-servlet.enabled=false spring.datasource.druid.stat-view-servlet.url-pattern=/druid/* ``` 这样就可以禁用Druid Monitor,从而避免Druid授权访问漏洞的风险。需要注意的是,这样做会导致无法通过Druid Monitor来监控数据库连接池的状态等信息。如果需要监控这些信息,可以考虑使用其他的数据库连接池监控工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值