【Java】Druid未授权访问漏洞如何处理
druid
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
项目地址:https://gitcode.com/gh_mirrors/druid/druid
免费下载资源
·
1. druid未授权访问漏洞
druid提供监控管理页面
uri http://localhost:8089/druid/index.html
使用的druid依赖版本
<dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.9</version> </dependency>
这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞
2. 如何处理
首先需要升级依赖版本
我使用的是1.2.6,更多版本可以自己去 maven找
<dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.2.6</version> </dependency>
application.yml
可以根据需要自行修改
spring: datasource: druid: stat-view-servlet: enabled: false #使重置功能不起作用 reset-enable: false #配置访问监控view的用户名密码 login-username: root login-password: root #IP白名单 (没有配置或者为空,则允许所有访问) allow: 127.0.0.1,192.168.1.1 # IP黑名单 (存在共同时,deny优先于allow) # deny: 192.168.10.1
结果
GitHub 加速计划 / druid / druid
3
3
下载
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
最近提交(Master分支:4 个月前 )
9faeba9f - 3 天前
5a1a5f0f - 3 天前
更多推荐
已为社区贡献8条内容
所有评论(0)