【Java】Druid未授权访问漏洞如何处理

最新推荐文章于 2024-09-03 13:40:59 发布
最新推荐文章于 2024-09-03 13:40:59 发布
阅读量769 收藏
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: android 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web13985085406/article/details/126065158
版权
本文介绍了Java应用中Druid数据源存在的未授权访问漏洞,详细说明了如何处理这一安全问题。通过升级Druid依赖版本至1.2.6,并在`application.yml`配置文件中设置访问限制,例如禁止特定IP(如192.168.10.1)访问,从而增强系统的安全性。
摘要由CSDN通过智能技术生成

1.druid未授权访问漏洞

druid提供监控管理页面

uri?http://localhost:8089/druid/index.html

使用的druid依赖版本

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactId>
        <version>1.1.9</version>
    </dependency>

这个被安全扫描到 属于低风险漏洞druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6,更多版本可以自己去maven

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactI
最低0.47元/天 解锁文章
web13985085406
关注
专栏目录
Druid-Monitor监控Java-web和JavaSE项目
01-30
因为自己使用的是maven,所以就直接打成一个zip包了,避免有些人找不到jar包而苦恼了。所以本资源直接放到tomcat中即可运行。
Java安全漏洞Druid授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞Druid授权访问解决
Druid 监控登录漏洞
DoupeLe的博客
08-27 400
java数据库连接池-Druid监控登录漏洞
Druid授权漏洞进一步的利用
qq_53058639的博客
02-19 5586
对于druid授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
Druid授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6437
Druid授权访问 漏洞复现
基于Spring+SpringMVC+Druid+Boostarp的图书馆管理系统
08-17
【基于Spring+SpringMVC+Druid+Bootstrap的图书馆管理系统】是一个综合性的Web应用程序,它利用了Java技术栈的优势来实现高效、稳定的图书管理。这个系统的核心架构是基于Spring框架,Spring MVC作为其MVC设计模式的...
java开源包1
06-28
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
JAVA上百实例源码以及开源项目源代码
12-11
Java访问权限控制源代码 1个目标文件 摘要:Java源码,文件操作,权限控制 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流...
java开源包101
07-13
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
Java资源包01
08-31
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
Druid授权访问漏洞修复
雅俗共赏的博客
06-13 2644
安全组针对系统漏扫发现系统存在Druid授权访问,会引发泄露系统敏感信息。
狂神说SpringBoot08:整合Druid
狂神说
03-15 5641
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。经作者授权,禁止转载集成DruidDruid简介Java程序很大一部...
Druid授权高危漏洞复现方法
weixin_68647219的博客
07-28 5363
证明漏洞存在,泄露了网站后台功能模块的url地址,大多数都是一些api接口,有时候也会泄露一些敏感文件。这里泄露的主要是登录用户的session,不管是登陆成功的,没登陆成功的,还是失效的都会储存在这里。是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问。4.利用session,替换cookie,绕过登录验证,成功登录。
记一次Druid授权访问漏洞
weixin_44820552的博客
03-28 3896
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控。当开发者配置不当时就可能造成授权访问,暴露Druid的监控界面,获得敏感信息。
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言为javadruid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
Druid授权访问解决
最新发布
weixin_50003028的博客
09-03 949
需要明确: Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。(1)可以继续使用Druid监控管理功能。
Druid授权访问漏洞
06-06
Druid授权访问漏洞是指攻击者可以通过授权访问的方式,获取到Druid系统中的敏感信息。Druid是一款开源分布式的实时数据处理系统,广泛应用于大数据领域。由于Druid默认安装时对其管理界面进行访问控制,因此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值