druid监控页面未授权访问漏洞
一、项目环境SpringBoot Version:2.4.5二、问题场景项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取<dependency><groupId>
·
一、项目环境
SpringBoot Version:2.4.5
注:部分配置需要根据Springboot版本做相应调整。
二、问题场景
项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-starter</artifactId>
<version>1.1.16</version>
</dependency>
spring.datasource.druid.stat-view-servlet.enabled=true
访问路径地址:http://应用IP:应用端口/druid/index.html
三、解决方法
SpringBoot项目修改配置文件application.properties
方案一:直接禁止页面访问(或者不配置,此配置默认为false)
spring.datasource.druid.stat-view-servlet.enabled=false
效果图:
方案二:增加账号密码登录
账号密码可自定义配置,与数据库无关
spring.datasource.druid.stat-view-servlet.enabled=true
spring.datasource.druid.stat-view-servlet.login-username=root
spring.datasource.druid.stat-view-servlet.login-password=123
效果图:
更多推荐
已为社区贡献1条内容
所有评论(0)