1. druid未授权访问漏洞

druid提供监控管理页面

uri http://localhost:8089/druid/index.html

使用的druid依赖版本

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>

这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6,更多版本可以自己去 maven

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空,则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时,deny优先于allow)
#        deny: 192.168.10.1 

结果

GitHub 加速计划 / druid / druid
3
3
下载
阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品,为监控而生的数据库连接池
最近提交(Master分支:4 个月前 )
9faeba9f - 3 天前
5a1a5f0f - 3 天前
Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐