漏洞描述
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。修复方案
修改中间件配置,给出的例子,springboot的配置:
spring:
datasource:
Druid:
max-active: 10
min-idle: 1
stat-view-servlet:
# 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
enabled: true
# 禁用HTML页面上的"Reset All"功能
reset-enable: false
# 设置账户名称(增加登录权限)
login-username: xxxx
# 设置账户密码
login-password: xxxxxxxx
# IP白名单(没有配置或者为空,则允许所有访问)
allow: 127.0.0.1
# IP黑名单(存在共同时,deny优先于allow)
deny: 10.0.0.1
# 自定义druid连接
url-pattern: '/druid/*'
方法1: 设置StatViewServlet(监控页面)为 false方法2: 给druid的web页面设置账户密码,增加访问druid的权限。
The End
大气响应式网络建站服务公司织梦模板
高端大气html5设计公司网站源码
织梦dede网页模板下载素材销售下载站平台(带会员中心带筛选)
财税代理公司注册代理记账网站织梦模板(带手机端)
成人高考自考在职研究生教育机构网站源码(带手机端)
高端HTML5响应式企业集团通用类网站织梦模板(自适应手机端)