问题描述

Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息

原因分析:

druid作为数据库连接池,默认配置监控页存在漏洞,可以通过直接通过GET /druid/index.html 直接访问,存在数据库数据泄露的风险。

解决方案:

在yml配置文件中进行账号密码配置或者禁用页面

    datasource:
        druid:
          # 配置DruidStatViewServlet
          stat-view-servlet:
            #enabled: false 这里设为false直接禁用访问页面,默认为true,有登录页面
            url-pattern: "/druid/*"
            # IP白名单(没有配置或者为空,则允许所有访问)
            allow: 127.0.0.1
            # IP黑名单 (存在共同时,deny优先于allow)
            # deny: 111.111.3.111
            #  禁用HTML页面上的“Reset All”功能
            reset-enable: false
            #druid登录页面账号密码
            # 登录名
            login-username: admin
            # 登录密码
            login-password: 6MV3ymN1vz9mhKJxj3gTz1123
# java # 系统安全
GitHub 加速计划 / druid / druid
6
4
下载
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
最近提交(Master分支:3 个月前 )
3246166f - Add constructor with SQLParserFeature support to SparkStatementParser - Fix SQLParserUtils to pass features parameter to SparkStatementParser, CKStatementParser and StarRocksStatementParser 4 天前
78fa7415 - Add CKDropTableStatement to handle DROP TABLE with ON CLUSTER syntax - Add parseDropTableAfterName extension point in SQLStatementParser - Implement parseDropTableAfterName in CKStatementParser for ON CLUSTER parsing - Support DEFAULT keyword as cluster name in both CREATE/DROP TABLE - Add visitor methods in CKASTVisitor and CKOutputVisitor for CKDropTableStatement - Add test cases in 6.txt for DROP TABLE and CREATE TABLE with ON CLUSTER - All 43 ClickHouse tests passing 23 天前
Logo
AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐

cover

AtomGit 11 月:新一代 AtomGit 平台正式上线!

avatar AtomGit开源社区
cover

MiniMax M2.1 正式开源并全面上线 AtomGit

avatar AtomGit开源社区
cover

情绪也能被 AI “听”出来?wav2vec2 情感识别模型正式上线 AtomGit AI!

avatar AtomGit开源社区