漏洞描述
解决建议
漏洞描述
漏洞描述:
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。
解决建议
解决建议:
修改中间件配置
给出的例子,springboot的配置
spring: datasource: druid: max-active: 10 min-idle: 1 stat-view-servlet: # 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动 enabled: true # 禁用HTML页面上的"Reset All"功能 reset-enable: false # 设置账户名称(增加登录权限) login-username: xxxx # 设置账户密码 login-password: xxxxxxxx # IP白名单(没有配置或者为空,则允许所有访问) allow: 127.0.0.1 # IP黑名单(存在共同时,deny优先于allow) deny: 10.0.0.1 # 自定义druid连接 url-pattern: '/druid/*'
有两种方法:
方法1: 设置StatViewServlet(监控页面)为 false
方法2: 给druid的web页面设置账户密码,增加访问druid的权限。
小编这里推荐方法2咯,毕竟自定义账户密码。鉴权后还是能去druid里面查看监控信息的
转自:https://blog.csdn.net/a987212198/article/details/122600940