1. 问题描述
druid是国内及公司内部最常用的数据库连接池配置管理工具;其内置监控页面,用于拦截sql及实时监控连接池/sql信息,该页面在原生的druid包中默认为禁用,但其用于适配springboot的druid-spring-boot-starter包,默认打开该监控页面(http://ip:port/druid/index.html) ,打开后存在如下风险:
1.1 暴露DB信息
由于druid监控页面地址是固定的,容易被猜,监控页面默认没有任何安全措施,容易暴露项目信息,如:数据库域名地址、库名、表名、查询的sql及url等,如果druid有漏洞,甚至可能被攻击。
泄漏DB域名、使用用户及库名:
泄漏SQL信息:
泄漏URL信息:
1.2 成为非法广告的肉机
监控页面中的多个tab页含阿里云广告,且power by连接到作者个人域名,估计没续费,已被澳门赌场站点抢占,国内该类广告是违法的,如下图:
2. 影响范围
springboot项目:该问题我们已向官方提交request官方尚未修复,所以我们使用的任意版本druid-spring-boot-starter都有问题。
非sprinb