“Alibaba Druid 未授权访问” 安全漏洞
druid
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
项目地址:https://gitcode.com/gh_mirrors/druid/druid
免费下载资源
·
近期,时常有各种安全漏洞被相关部门稽核整改,其中 “Alibaba Druid 未授权访问” 是一个必改项。
问题描述
Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息。
例如,访问:http://10.10.204.91:8081/druid/index.html
返回:
可以免授权方式直接进入 druid 管理页面。
危机分析:
druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。
解决方案:
在yml配置文件中进行账号密码配置或者禁用页面
datasource:
druid:
# 配置DruidStatViewServlet
stat-view-servlet:
#enabled: false 这里设为false直接禁用访问页面,默认为true,有登录页面
url-pattern: "/druid/*"
# IP白名单(没有配置或者为空,则允许所有访问)
allow: 127.0.0.1
# IP黑名单 (存在共同时,deny优先于allow)
# deny: 111.111.3.111
# 禁用HTML页面上的“Reset All”功能
reset-enable: false
#druid登录页面账号密码
# 登录名
login-username: admin
# 登录密码
login-password: 6MV3ymN1vz9mhKJxj3gTz1123
注意: 必须将 druid-spring-boot-starter 升级到 1.2.6 版本及以上,否则上面的配置无效 !
GitHub 加速计划 / druid / druid
27.83 K
8.56 K
下载
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
最近提交(Master分支:2 个月前 )
a9fd3d0c - 5 天前
e7f90de9
* Fix single quote parse issue.
* Lint. 6 天前
更多推荐
已为社区贡献1条内容
所有评论(0)