标签:false springboot 漏洞 druid Druid 访问 监控
Druid未授权访问漏洞,修复思路漏洞描述
解决建议
漏洞描述
漏洞描述:
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。
解决建议
解决建议:
修改中间件配置
给出的例子,springboot的配置
spring: datasource: druid: max-active: 10 min-idle: 1 stat-view-servlet: # 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动 enabled: true # 禁用HTML页面上的"Reset All"功能 reset-enable: false # 设置账户名称(增加登录权限) login-username: xxxx # 设置账户密码 login-password: xxxxxxxx # IP白名单(没有配置或者为空,则允许所有访问) allow: 127.0.0.1 # IP黑名单(存在共同时,deny优先于allow) deny: 10.0.0.1 # 自定义druid连接 url-pattern: '/druid/*'
有两种方法:
方法1: 设置StatViewServlet(监控页面)为 false
方法2: 给druid的web页面设置账户密码,增加访问druid的权限。
小编这里推荐方法2咯,毕竟自定义账户密码。鉴权后还是能去druid里面查看监控信息的
转自:https://blog.csdn.net/a987212198/article/details/122600940
标签:false,springboot,漏洞,druid,Druid,访问,监控 来源: https://www.cnblogs.com/zouhong/p/16245083.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。