【漏洞】【Druid】Druid未授权访问漏洞，修复方案。springboot

7月前作者：小地球分类：Toy博客阅读(35) 违法举报

这篇具有很好参考价值的文章主要介绍了【漏洞】【Druid】Druid未授权访问漏洞，修复方案。springboot。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

漏洞描述

漏洞描述：
Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。

解决建议

解决建议：
修改中间件配置
给出的例子，springboot的配置

spring:
  datasource:
    druid:
      max-active: 10
      min-idle: 1
      stat-view-servlet:
        # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
        enabled: true
        # 禁用HTML页面上的"Reset All"功能
        reset-enable: false
        # 设置账户名称（增加登录权限）
        login-username: xxxx
        # 设置账户密码
        login-password: xxxxxxxx
        # IP白名单(没有配置或者为空，则允许所有访问)
        allow: 127.0.0.1
        # IP黑名单(存在共同时,deny优先于allow)
        deny: 10.0.0.1
        # 自定义druid连接
        url-pattern: '/druid/*'

有两种方法：
方法1： 设置StatViewServlet(监控页面)为 false
方法2： 给druid的web页面设置账户密码，增加访问druid的权限。

小编这里推荐方法2咯，毕竟自定义账户密码。鉴权后还是能去druid里面查看监控信息的文章来源地址https://www.toymoban.com/news/detail-502083.html

到了这里，关于【漏洞】【Druid】Druid未授权访问漏洞，修复方案。springboot的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

修复zookeeper未授权访问漏洞

在用kafka_2.13-3.3.1集成的zookeeper时，发现存在未授权访问漏洞，以下是解决授权问题的方法。同理也适用于单独的zookeeper，除了进入zookeeper客户端的命令有所不同，其他过程一样。 1、查看是否有监听2181端口 2、如果没有执行在kafka目录执行 3、进入zk客户端 4、授权账号、密码

2024年04月09日
浏览(64)
ElasticSearch9200端口未授权访问漏洞修复

ElasticSearch 是一款Java编写的企业级搜索服务，启动此服务默认会开放HTTP-9200端口，可被非法操作数据。例如 ip:9200/_cat可以直接访问等。。高危 9200端口不对外开放，如需开放，需在安全组限制只允许指定IP才能访问9200端口 // accept // drop // 保存规则重启iptables 这就成功了，亲

2024年02月11日
浏览(38)
MongoDB未授权访问漏洞验证与修复过程

环境：Windows，MongoDB3.2 本文是Windows！Windows！Windows！环境下可以看到该ip存在MongoDB未授权访问漏洞，没有进行身份验证可以看到连接被拒绝

2024年02月11日
浏览(34)
spring 微服务nacos未授权访问漏洞修复

近来，公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明： Nacos是一个为动态服务发现和配置以及服务管理而设计的平台。Nacos如果没有配置认证管理，攻击者可以在无需授权的情况下获取敏感信息。公司系统使用版本为2.0.3。不支持进行认证管理，所

2024年02月10日
浏览(30)
Java配置47-Spring Eureka 未授权访问漏洞修复

项目组使用的 Spring Boot 比较老，是 1.5.4.RELEASE 。最近被检测出 Spring Eureka 未授权访问漏洞。现状是浏览器直接访问 Eureka Server 可以直接进去，看到已经注册的服务信息。 2.1 Eureka Server 添加安全组件 Eureka Server 添加 pom 依赖： 2.2 Eureka Server 添加参数 2.3 重启 Eureka Server 重启

2024年02月05日
浏览(26)
Nacos未授权访问修复方案

Nacos 是 SpringCloud Alibaba 微服务架构中的一个组件，主要作用是服务注册和发现以及分布式配置管理，通常情况下 Nacos 中存储着 MySQL、Redis 等数据库的账号和密码。当前使用的版本存在用户读取、添加、登陆的漏洞。通过版本漏洞，攻击者可以在不登陆系统的情况下读取已存

2024年02月14日
浏览(24)
修复SpringBoot Actuator未授权访问遇到的问题

访问http://xxx.xx.x/actuator 会直接获取到系统监控信息，存在安全问题，禁用actuator 缺点：谁都不可以访问不够灵活会展示部分信息，漏扫严格的话建议替换其他方法缺点：谁都不可以访问不够灵活配置文件增加在项目目录新建config文件夹，新建下面两个文件 1. ActuatorFilter

2024年02月11日
浏览(30)
漏洞复现 - - - Springboot未授权访问

目录一，未授权访问是什么？二，Actuator介绍三，怎么进行漏洞发现呢？四，实验环境五，漏洞复现 1.通过访问env获取全部环境属性 2.通过/trace提供基本的http请求跟踪信息 3.利用反序列化进行getshell 1.启动脚本 2.开启监听 3.使用bp抓取一个/env的包 4.修改POST数据未授权

2024年01月20日
浏览(33)
Springboot Actuator未授权访问漏洞

参考博客： https://blog.csdn.net/m0_57042151/article/details/126719041 漏洞概述： Actuator 是 Springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator ，开发者可以很方便地对应用系统的某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限

2024年02月12日
浏览(36)
Springboot Actuator未授权访问漏洞复现

更新时间：2022.07.20 Spring Boot Actuator 模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP 跟踪等，帮助监控和管理Spring Boot 应用。这个模块是一个采集应用内部信息暴露给外部的模块，上述的功能都可以通过HTTP 和 JMX 访问。（来源：https://mp.weixin.qq.com/s/qY-hBSa

2023年04月16日
浏览(28)