【Java】Druid未授权访问漏洞如何处理

最新推荐文章于 2024-05-26 08:32:52 发布
最新推荐文章于 2024-05-26 08:32:52 发布
阅读量8.7k 收藏 13
点赞数 3
分类专栏: Java 运维 文章标签: java spring boot 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxzone/article/details/125648926
版权
Java 同时被 2 个专栏收录
18 篇文章 3 订阅
订阅专栏
运维
12 篇文章 0 订阅
订阅专栏

1. druid未授权访问漏洞

druid提供监控管理页面

uri http://localhost:8089/druid/index.html

使用的druid依赖版本

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>

这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6,更多版本可以自己去 maven

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空,则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时,deny优先于allow)
#        deny: 192.168.10.1

结果

姜太小白
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Alibaba Druid授权访问漏洞记录(敏感目录,端口:不确定)
墨痕诉清风的博客
11-12 1万+
1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.2.Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控.
漏洞复现】用友分析云druid存在授权访问漏洞
qq_34780861的博客
04-02 465
用友分析云存在druid授权访问漏洞,用友分析云默认启动druiddruid做登录认证,导致任意用户可直接访问druid,读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。
Druid授权访问利用
春日野穹
11-14 2万+
引言~ 最近外网打点遇到个Druid授权访问漏洞,觉得过程比较有趣,所以简单记录一下 Druid简介 druid是阿里研发的一款数据库连接池,其开发语言javadruid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。 更多信息可参考官方GitHub项目:https://github.com/alibaba/druid druid虽高效好用,但当开发者配置不当时就可能造成授权访问,攻
Druid授权漏洞进一步的利用
最新发布
qq_53058639的博客
05-26 499
对于druid授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
mybatis多数据源+druid界面展示+swagger
weixin_42057591的博客
06-29 934
1、实现多数据源,并且展示druid界面调用sql,以及swagger接口文档展示,最后实现效果如下: druid地址:Druid SQL Stat swagger本地地址:Swagger UI swagger界面: druid界面展示: 2、实现方式 (1)pom文件引入 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi
druid监控页面授权访问漏洞
m0_37354578的博客
06-30 1万+
一、项目环境 SpringBoot Version:2.4.5 二、问题场景 项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g
SpringBoot:Druid 管理界面配置
zhouzhiwengang的专栏
11-13 3052
SpringBoot + MyBatis + MySQL + Druid +PageHeler 核心jar类: <!-- mysql 连接 --> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-s...
JAVA上百实例源码以及开源项目
01-03
 Java波浪文字,一个利用Java处理字符的实例,可以设置运动方向参数,显示文本的字符数组,高速文本颜色,显示字体的 FontMetrics对象,得到Graphics实例,得到Image实例,填充颜色数组数据,初始化颜色数组。...
java开源包1
06-28
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
JAVA上百实例源码以及开源项目源代码
12-11
Java访问权限控制源代码 1个目标文件 摘要:Java源码,文件操作,权限控制 Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流...
java开源包101
07-13
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
java开源包6
06-28
Jackson 是一个 Java 用来处理 JSON 格式数据的类库,性能非常好。 哈希计算工具 java-hash 用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC...
Apache Druid远程代码执行漏洞(CVE-2021-25646)
weixin_44047654的博客
12-05 1703
Apache Druid远程代码执行漏洞(CVE-2021-25646)
Alibaba Druid 授权访问
weixin_45238297的博客
11-05 4348
Alibaba Druid 授权访问【原理扫描】 启动项目后druid的登录界面:http://localhost:8080/druid/index.html;在没有配置需要用户名和密码的情况下,会直接登录进入,如下图: 如果有配置对应的用户名和密码druid就会弹出登录界面,如下图: 弹出登录界面输入用户名和密码的配置文件路径:webapps\ROOT\WEB-INF下的web.xml文件; 下面展示配置部份代码: DruidStatView com.alibaba.
Druid监控配置访问权限(配置访问监控信息的用户与密码)
热门推荐
铁锚的CSDN博客
09-25 7万+
本文介绍如何为JDBC数据库连接池 Druid 内置的状态监控程序配置访问权限和用户密码。
【原理扫描】Alibaba Druid 授权访问
空空
03-24 1万+
问题描述 项目中 Alibaba Druid 默认情况下设置访问控制,攻击者可以登录以获取敏感信息 原因分析: druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。 解决方案: 在yml配置文件中进行账号密码配置或者禁用页面 datasource: druid: # 配置DruidStatViewServlet stat-view-
Druid授权访问漏洞
06-06
Druid授权访问漏洞是指攻击者可以通过授权访问的方式,获取到Druid系统中的敏感信息。Druid是一款开源分布式的实时数据处理系统,广泛应用于大数据领域。由于Druid默认安装时对其管理界面进行访问控制,因此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姜太小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值