1. druid未授权访问漏洞

druid提供监控管理页面

uri http://localhost:8089/druid/index.html

使用的druid依赖版本

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>

这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6,更多版本可以自己去 maven

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空,则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时,deny优先于allow)
#        deny: 192.168.10.1

结果

# java # spring boot # 开发语言
Logo
华为云开发者联盟

为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。

更多推荐

cover

小窗口大魔力,实况窗服务实时掌控重要信息变化

avatar 华为云开发者联盟
cover

GeminiDB全面联动MySQL:热点数据,一键加速

avatar 华为云开发者联盟
cover

GaussDB数据库查询重写的自动挖掘与生成

avatar 华为云开发者联盟