当前位置: 首页 > news >正文

【漏洞】Druid未授权访问漏洞及修复方案

漏洞描述:

Druid(阿里巴巴数据库连接池)是一个开源的数据库连接池库,它提供了强大的数据库连接池管理和监控功能

核心原因:Druid 管理后台(默认路径/druid/index.html/api/admin/druid/index.html)默认未启用身份认证,且未限制访问来源 IP,导致攻击者可直接访问后台,获取数据库连接信息、SQL 执行记录、服务器监控数据等敏感内容。

等保公司扫描页面内容:

处理方案:

由于网址通过NGINX进行转发,直接针对该网址增加过滤即可(处理后截图如下)

但是还有其他方案:

1. 限制访问来源 IP(最快捷有效)
2. 临时关闭 Druid 管理后台(若无需使用)【Spring Boot 项目配置(application.yml)】
spring: datasource: druid: stat-view-servlet: enabled: true # 启用管理后台 login-username: admin # 自定义用户名(建议复杂名称) login-password: StrongP@ssw0rd # 强密码(字母+数字+特殊字符) allow: 192.168.1.0/24 # 仅允许内部网段访问(与防火墙规则叠加) deny: 0.0.0.0/0 # 拒绝其他所有 IP
3. 升级 Druid 到最新稳定版
http://www.cnnetsun.cn/news/114106.html

相关文章:

  • 收藏!从“黑客梦“到网络安全专家:过来人告诉你自学路线图
  • Bagisto 产品更新后,前台默认语言的内容不更信,其他语言正常。
  • 【收藏】运维转网安的黄金路径:4个高适配岗位+3步落地指南,薪资提升50%
  • 大语言模型全解析:一篇文章带你深入理解AI的强大能力!
  • 【网络】网络通信模型
  • Slimjet浏览器:基于Chromium的高效网页浏览解决方案,内置广告拦截与多功能工具
  • AMP页面还要做吗?2025替代方案及优化指南
  • 为什么你的RAG总是“一本正经地胡说八道”?EAG-RAG揭示真相,准确率暴涨300%的秘密!
  • iOS 项目中证书管理常见的协作问题
  • 理解线程不安全:从观察到原因分析
  • 《Java Web开发入门很简单》——学习笔记,新手入门,收藏这篇就够了
  • 2025年,国内外最火的10款降AI率工具亲测!(持续更新)
  • 基于大数据的餐饮食材管理系统的设计与实现开题报告
  • 基于大数据的交通信号智能控制系统的设计与实现开题报告
  • 基于大数据的交通信号智能控制系统的设计与实现任务书
  • 蜘蛛池站点优化思路分享
  • 2025 OA 选型关键看这 4 点:集成、灵活、安全、易用,附高性价比系统清单
  • 图神经网络与pytorch
  • Xiaomi 商城页面布局(部分)
  • FPGA以太网升级程序:便捷qspi Flash升级,具备校验功能,适用于Xilinx 7系列...
  • 运料小车装卸料控制:西门子1200PLC与TP700触摸屏联机仿真博途16
  • S32K311启动过程中,向量表重定向
  • 从蓝图到产线:高效产品信息传递的桥梁建设
  • 时间复杂度
  • 网站建设公司怎么选?2025年网站设计制作公司推荐指南
  • 今天咱们来聊一个挺有意思的优化算法改进——基于透镜成像反向策略的海洋捕食者算法。这个改进版本在原始MPA基础上搞了点新花样,咱们直接上干货看代码实现
  • Gitee:本土化DevOps平台如何重塑中国开发者生态
  • vCenter Server 8.0U3h 新增功能简介
  • Cisco NX-OS 10.6(2)F 发布 - 数据中心网络操作系统
  • Ubuntu24.04无操作卡死,无法唤醒问题以及内核版本切换记录