SpringBoot druid监控页未授权访问漏洞

Posted 2021-09-07 MonsterTiny

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了SpringBoot druid监控页未授权访问漏洞相关的知识，希望对你有一定的参考价值。

druid作为数据库连接池，默认配置监控页存在漏洞，可以通过直接通过GET /druid/index.html 直接访问，存在数据库数据泄露的风险。

解决方法：

在配置文件中禁用druid监控页或添加用户名密码

spring:
  datasource:
    druid:
      stat-view-servlet:
        # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
        enabled: false
        url-pattern: '/druid/*'
        # IP白名单(没有配置或者为空，则允许所有访问)
        allow: 127.0.0.1,192.168.0.1
        # IP黑名单(存在共同时,deny优先于allow)
        deny: 192.168.0.0
        # 禁用html页面上的"Reset All"功能
        reset-enable: false
        # 登录名
        login-username: username
        # 登录密码
        login-password: password

以上是关于SpringBoot druid监控页未授权访问漏洞的主要内容，如果未能解决你的问题，请参考以下文章

SpringBoot_数据访问-整合Druid&配置数据源监控

SpringBoot：Mybatis + Druid 数据访问

Java安全漏洞：Druid未授权访问解决

SpringBoot系列之集成Druid配置数据源监控

SpringBoot整合Druid

SpringBoot--集成Druid连接池