标签：false 漏洞 druid Druid 访问 监控 小记

漏洞说明：Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问.

直接在网站的url中后加上：
/druid/index.html
如果可以无需登录，即可登录到Druid监控界面，则说明该网站存在Druid未授权访问漏洞！
下面是某次实测时发现的未授权访问漏洞实例：

解决方法：

在配置文件中禁用druid监控页或添加用户名密码

    spring:
      datasource:
        druid:
          stat-view-servlet:
            # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
            enabled: false
            url-pattern: '/druid/*'
            # IP白名单(没有配置或者为空，则允许所有访问)
            allow: 127.0.0.1,192.168.0.1
            # IP黑名单(存在共同时,deny优先于allow)
            deny: 192.168.0.0
            # 禁用HTML页面上的"Reset All"功能
            reset-enable: false
            # 登录名
            login-username: username
            # 登录密码
            login-password: password

标签：false,漏洞,druid,Druid,访问,监控,小记
来源： https://blog.csdn.net/niceling_99/article/details/120966876

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。