【Java】Druid未授权访问漏洞如何处理

2年前 (2022) 程序员胖胖胖虎阿
202 0 0

1. druid未授权访问漏洞

druid提供监控管理页面

【Java】Druid未授权访问漏洞如何处理

uri http://localhost:8089/druid/index.html

使用的druid依赖版本

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>

这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6,更多版本可以自己去 maven找

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空,则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时,deny优先于allow)
#        deny: 192.168.10.1 

结果

【Java】Druid未授权访问漏洞如何处理

版权声明:程序员胖胖胖虎阿 发表于 2022年11月7日 下午9:24。
转载请注明:【Java】Druid未授权访问漏洞如何处理 | 胖虎的工具箱-编程导航

相关文章

暂无评论

暂无评论...