近期,时常有各种安全漏洞被相关部门稽核整改,其中 “Alibaba Druid 未授权访问” 是一个必改项。

问题描述

Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息。

例如,访问:http://10.10.204.91:8081/druid/index.html
返回: 在这里插入图片描述
可以免授权方式直接进入 druid 管理页面。

危机分析:

druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。

解决方案:

在yml配置文件中进行账号密码配置或者禁用页面

    datasource:
        druid:
          # 配置DruidStatViewServlet
          stat-view-servlet:
            #enabled: false 这里设为false直接禁用访问页面,默认为true,有登录页面
            url-pattern: "/druid/*"
            # IP白名单(没有配置或者为空,则允许所有访问)
            allow: 127.0.0.1
            # IP黑名单 (存在共同时,deny优先于allow)
            # deny: 111.111.3.111
            #  禁用HTML页面上的“Reset All”功能
            reset-enable: false
            #druid登录页面账号密码
            # 登录名
            login-username: admin
            # 登录密码
            login-password: 6MV3ymN1vz9mhKJxj3gTz1123

注意: 必须将 druid-spring-boot-starter 升级到 1.2.6 版本及以上,否则上面的配置无效 !

# java # 数据库 # 服务器
GitHub 加速计划 / druid / druid
27.83 K
8.56 K
下载
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
最近提交(Master分支:2 个月前 )
a9fd3d0c - 5 天前
e7f90de9 * Fix single quote parse issue. * Lint. 6 天前
Logo
GitCode 开源社区

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐

[转载]在Windows环境下安装GNU Radio

转自:在Windows环境下安装GNURadio_恐弱智_新浪博客GNU Radio是用Python开发的,大部分开源的工程能够在Linux环境下运行良好,而Windows下却运行的很勉强,而且安装配置都很复杂。GNU Radio算是个例外了,不光提供了Windows的二进制安装,还有比较详细的说明。我是Python小白,所以折腾了好久才弄好,特意记录下来,免得以后再装还折腾。GNU Radio的

avatar GitCode 开源社区

centOS 8 使用dnf安装Docker

DNF是什么?CentOS 8使用YUM软件包管理器版本v4.0.4。现在,该版本使用DNF(已删除YUM)。DNF是软件包管理器。它会在Linux发行版上安装,执行更新并删除软件包。使用DNF安装Docker跳过具有损坏依赖性的程序包一个有效的解决方案是使您的CentOS 8系统使用以下--nobest命令安装最符合条件的版本:sudo dnf install docker...

avatar GitCode 开源社区

定时同步数据库表(mysql+linux+crontab)

sync.sh里面的参数需要改变,ip/username/password/database/tablesync.sh#!/bin/sh# Please change the IP and password of the data source db.# Then change the table name.filename=/home/nington/db/$(date +%Y-%m

avatar GitCode 开源社区