漏洞描述
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。修复方案
修改中间件配置,给出的例子,springboot的配置:
spring:
datasource:
druid:
max-active: 10
min-idle: 1
stat-view-servlet:
# 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
enabled: true
# 禁用HTML页面上的"Reset All"功能
reset-enable: false
# 设置账户名称(增加登录权限)
login-username: xxxx
# 设置账户密码
login-password: xxxxxxxx
# IP白名单(没有配置或者为空,则允许所有访问)
allow: 127.0.0.1
# IP黑名单(存在共同时,deny优先于allow)
deny: 10.0.0.1
# 自定义druid连接
url-pattern: '/druid/*'
方法1: 设置StatViewServlet(监控页面)为 false方法2: 给druid的web页面设置账户密码,增加访问druid的权限。
本站部分内容来源互联网,如果有图片或者内容侵犯了您的权益,请联系我们,我们会在确认后第一时间进行删除!