国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

Java安全漏洞:Druid未授權(quán)訪問解決

這篇具有很好參考價值的文章主要介紹了Java安全漏洞:Druid未授權(quán)訪問解決。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。


前言

相信很多朋友在服務(wù)器安全掃描的時候,遇到過Druid未授權(quán)訪問低風(fēng)險漏洞提示。本文先對Druid未授權(quán)訪問漏洞進行介紹和分析,最后給出兩種解決辦法,供大家參考。


一、Druid未授權(quán)訪問原因分析

漏洞說明:Druid由阿里巴巴數(shù)據(jù)庫出品,為監(jiān)控而生的數(shù)據(jù)庫連接池,并且Druid可以提供監(jiān)控,監(jiān)控SQL的執(zhí)行時間、監(jiān)控Web URI的請求、Session監(jiān)控等功能,使用廣泛。

需要明確: Druid本身是不存在漏洞的,Druid未授權(quán)訪問是因為開發(fā)者配置的不夠全面,導(dǎo)致攻擊者輸入ip/druid/index.html即可直接即可登錄到Druid監(jiān)控界面,這就是所謂未授權(quán),即可訪問。

具體示例如圖所示:
druid未授權(quán)訪問,java,數(shù)據(jù)庫,開發(fā)語言,系統(tǒng)安全,安全

二、解決辦法

1.添加登錄用戶名密碼

未授權(quán)訪問的常見原因:
(1)攻擊者可以不輸入賬號密碼即可訪問管理頁面
(2)或者是攻擊者輸入常見賬號密碼,比如賬號:root,密碼:123456等這種保密性很低的賬號密碼,即可訪問管理頁面。

以上這兩種情況,都可以通過添加復(fù)雜的登錄賬號密碼來解決。只要賬號密碼沒有被掌握,可以很大程度避免未授權(quán)訪問問題。

優(yōu)點:
(1)可以繼續(xù)使用Druid監(jiān)控管理功能
(2)對用戶使用習(xí)慣影響較小

缺點:
(1)為了盡可能降低風(fēng)險,賬號密碼需要不定期更換,密碼難度等級需要設(shè)定較高
(2)理論上來說仍然存在被攻擊的可能性

具體解決方法(二選一):
(1)可以在druidConfig中配置:

@Bean
    public ServletRegistrationBean druidServlet() {
        ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
        servletRegistrationBean.setServlet(new StatViewServlet());
        servletRegistrationBean.addUrlMappings("/druid/*");
        Map<String, String> initParameters = new HashMap<>();
        initParameters.put("resetEnable", "false"); //禁用HTML頁面上的“Rest All”功能
        initParameters.put("allow", "10.8.9.115");  //ip白名單(沒有配置或者為空,則允許所有訪問)
        initParameters.put("loginUsername", "admin");  //++監(jiān)控頁面登錄用戶名
        initParameters.put("loginPassword", "123.admin");  //++監(jiān)控頁面登錄用戶密碼
        initParameters.put("deny", ""); //ip黑名單
        //如果某個ip同時存在,deny優(yōu)先于allow
        servletRegistrationBean.setInitParameters(initParameters);
        return servletRegistrationBean;
    }

(2)也可以在web.xml中配置

<!-- 配置 Druid 監(jiān)控信息顯示頁面 -->
	<servlet>
		<servlet-name>DruidStatView</servlet-name>
		<servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>
		<init-param>
			<!-- 允許清空統(tǒng)計數(shù)據(jù) -->
			<param-name>resetEnable</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<!-- 用戶名 -->
			<param-name>loginUsername</param-name>
			<param-value>druid</param-value>
		</init-param>
		<init-param>
			<!-- 密碼 -->
			<param-name>loginPassword</param-name>
			<param-value>druid</param-value>
		</init-param>
	</servlet>
	<servlet-mapping>
		<servlet-name>DruidStatView</servlet-name>
		<url-pattern>/druid/*</url-pattern>
	</servlet-mapping>

2.禁用Druid監(jiān)控頁功能

為了徹底避免未授權(quán)訪問風(fēng)險,如果不需要使用或者很少使用Druid的監(jiān)控功能,可以嘗試徹底禁用Druid監(jiān)控頁,這種做法比較簡單粗暴,有利有弊。

優(yōu)點:
(1)徹底避免未授權(quán)訪問風(fēng)險
(2)配置起來比較更加簡單,禁用后無需再關(guān)心密碼被破解問題

缺點:
(1)徹底禁用后,自己也無法使用Druid監(jiān)控頁功能
(2)可能影響使用習(xí)慣,可能影響工作的開展,降低Druid管理的便利性

application.properties配置文件中添加一行代碼即可:

#是否啟用StatViewServlet(監(jiān)控頁面),默認(rèn)true-啟動,false-不啟動
spring.datasource.druid.stat-view-servlet.enabled=false

總結(jié)

本文對Druid未授權(quán)訪問漏洞進行了介紹和分析,并給出了兩種常見的解決辦法,可以按照自己的需求來選擇解決辦法。
個人建議: 如果用不到Druid監(jiān)控頁管理功能可以考慮徹底關(guān)掉,這樣后期比較省心。
希望對大家有用!

參考鏈接:
Spring Boot druid監(jiān)控頁添加登錄訪問權(quán)限(用戶名+密碼)
為Druid監(jiān)控配置訪問權(quán)限(配置訪問監(jiān)控信息的用戶與密碼)文章來源地址http://www.zghlxwxcb.cn/news/detail-778224.html

到了這里,關(guān)于Java安全漏洞:Druid未授權(quán)訪問解決的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 數(shù)據(jù)庫安全:Hadoop 未授權(quán)訪問-命令執(zhí)行漏洞.

    數(shù)據(jù)庫安全:Hadoop 未授權(quán)訪問-命令執(zhí)行漏洞.

    Hadoop 未授權(quán)訪問主要是因為 Hadoop YARN 資源管理系統(tǒng)配置不當(dāng),導(dǎo)致可以未經(jīng)授權(quán)進行訪問,從而被攻擊者惡意利用。攻擊者無需認(rèn)證即可通過 RESTAPI 部署任務(wù)來執(zhí)行任意指令,最終完全控制服務(wù)器。 數(shù)據(jù)庫安全:Hadoop 未授權(quán)訪問-命令執(zhí)行漏洞. Hadoop 未授權(quán)訪問-命令執(zhí)行漏

    2024年02月05日
    瀏覽(23)
  • 數(shù)據(jù)庫安全-Redis未授權(quán)&Hadoop&Mysql&未授權(quán)訪問&RCE 漏洞復(fù)現(xiàn)

    數(shù)據(jù)庫安全-Redis未授權(quán)&Hadoop&Mysql&未授權(quán)訪問&RCE 漏洞復(fù)現(xiàn)

    未授權(quán)訪問漏洞可以理解為需要安全配置或權(quán)限認(rèn)證的地址、授權(quán)頁面存在缺陷導(dǎo)致其他用戶可以直接訪問從而引發(fā)重要權(quán)限可被操作、數(shù)據(jù)庫或網(wǎng)站目錄等敏感信息泄露,包括端口的未授權(quán)常見頁面的未授權(quán) /admin.php /menu.php 常見的未授權(quán)訪問漏洞及默認(rèn)端口: 默認(rèn)端口統(tǒng)

    2024年02月03日
    瀏覽(24)
  • Druid未授權(quán)漏洞進一步的利用

    Druid未授權(quán)漏洞進一步的利用

    Druid是阿里巴巴數(shù)據(jù)庫出品的為監(jiān)控而生的數(shù)據(jù)庫連接池。并且Druid提供的監(jiān)控功能包括監(jiān)控SQL的執(zhí)行時間、監(jiān)控Web URI的請求、Session監(jiān)控等。Druid本身是不存在什么漏洞的,但當(dāng)開發(fā)者配置不當(dāng)時就可能造成未授權(quán)訪問。本文除了介紹Druid未授權(quán)漏洞之外,還要講的是一種該漏

    2024年02月11日
    瀏覽(22)
  • WEB攻防-Java安全&JWT攻防&Swagger自動化&算法&簽名&密匙&Druid未授權(quán)

    WEB攻防-Java安全&JWT攻防&Swagger自動化&算法&簽名&密匙&Druid未授權(quán)

    知識點: 1、Java安全-Druid監(jiān)控-未授權(quán)訪問信息泄漏 2、Java安全-Swagger接口-文檔導(dǎo)入聯(lián)動批量測試 2、Java安全-JWT令牌攻防-空算法未簽名密匙提取 參考:https://developer.aliyun.com/article/1260382 Druid是阿里巴巴數(shù)據(jù)庫事業(yè)部出品,為監(jiān)控而生的數(shù)據(jù)庫連接池。Druid提供的監(jiān)控功能,監(jiān)

    2024年02月04日
    瀏覽(29)
  • 服務(wù)攻防-數(shù)據(jù)庫安全-服務(wù)應(yīng)用的安全問題以及測試流程-Mysql&Hadoop&未授權(quán)訪問&RCE-漏洞復(fù)現(xiàn)

    服務(wù)攻防-數(shù)據(jù)庫安全-服務(wù)應(yīng)用的安全問題以及測試流程-Mysql&Hadoop&未授權(quán)訪問&RCE-漏洞復(fù)現(xiàn)

    目錄 一、服務(wù)應(yīng)用的安全問題 1、配置不當(dāng)——未授權(quán)訪問 2、安全機制——特定安全漏洞 3、安全機制——弱口令爆破攻擊 二、服務(wù)應(yīng)用的安全測試思路 1、判斷服務(wù)是否開放 2、判斷服務(wù)類型 3、判斷利用方式 三、Mysql-未授權(quán)訪問-CVE-2012-2122 利用 1、漏洞概述 2、漏洞復(fù)現(xiàn)

    2024年02月17日
    瀏覽(30)
  • weblogic 修改控制臺路徑或禁用控制臺,解決weblogic安全掃描訪問路徑漏洞問題

    weblogic 修改控制臺路徑或禁用控制臺,解決weblogic安全掃描訪問路徑漏洞問題

    在?些安全漏洞掃描中,經(jīng)常會掃描發(fā)現(xiàn),使?weblogic管理控制臺,會有個中危的漏洞。 出于安全的考慮需要對weblogic的console進行屏避,或者修改默認(rèn)的訪問路徑,主要有兩種方法,任選一種即可:(這里針對weblogic 11g 10.3.6.0) 1、進入默認(rèn)的控制臺,例如“l(fā)ocalhost/console”

    2024年02月11日
    瀏覽(52)
  • Angular安全專輯之三:授權(quán)繞過,利用漏洞控制管理員賬戶

    Angular安全專輯之三:授權(quán)繞過,利用漏洞控制管理員賬戶

    這篇文章是針對實際項目中所出現(xiàn)的問題所做的一個總結(jié)。簡單來說,就是授權(quán)繞過問題,管理員帳戶被錯誤的接管。 詳細(xì)情況是這樣的,我們的項目中通常都會有 用戶身份驗證功能 ,不同的用戶擁有不同的權(quán)限。相對來說管理員賬戶所對應(yīng)的權(quán)限是極高的,它可以修改當(dāng)

    2024年02月11日
    瀏覽(22)
  • 6.php開發(fā)-個人博客項目&Tp框架&路由訪問&安全寫法&歷史漏洞

    6.php開發(fā)-個人博客項目&Tp框架&路由訪問&安全寫法&歷史漏洞

    目錄 知識點 php框架——TP URL訪問 Index.php-放在控制器目錄下 ?編輯 Test.php--要繼承一下 帶參數(shù)的—————— 加入數(shù)據(jù)庫代碼 --不過濾 --自己寫過濾 --手冊(官方)的過濾 用TP框架找漏洞: 如何判斷網(wǎng)站是thinkphp? 黑盒: 白盒: php總結(jié) ? 1-基于TP框架入門安裝搭建使用

    2024年01月25日
    瀏覽(21)
  • Day69:WEB攻防-Java安全&JWT攻防&Swagger自動化&算法&簽名&密匙&Druid泄漏

    Day69:WEB攻防-Java安全&JWT攻防&Swagger自動化&算法&簽名&密匙&Druid泄漏

    目錄 Java安全-Druid監(jiān)控-未授權(quán)訪問信息泄漏 黑盒發(fā)現(xiàn) 白盒發(fā)現(xiàn) 攻擊點 Java安全-Swagger接口-導(dǎo)入聯(lián)動批量測試 黑盒發(fā)現(xiàn) 白盒發(fā)現(xiàn) 自動化發(fā)包測試 自動化漏洞測試 Java安全-JWT令牌-空算法未簽名密匙提取 識別 JWT 方式一:人工識別 方式二:Burp插件識別 解析JWT數(shù)據(jù) JWT安全 空加

    2024年04月13日
    瀏覽(22)
  • 【burpsuite安全練兵場-服務(wù)端7】訪問控制漏洞和權(quán)限提升-11個實驗(全)

    【burpsuite安全練兵場-服務(wù)端7】訪問控制漏洞和權(quán)限提升-11個實驗(全)

    ?? 博主:網(wǎng)絡(luò)安全領(lǐng)域狂熱愛好者(承諾在CSDN永久無償分享文章)。 殊榮:CSDN網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者,2022年雙十一業(yè)務(wù)安全保衛(wèi)戰(zhàn)-某廠第一名,某廠特邀數(shù)字業(yè)務(wù)安全研究員,edusrc高白帽,vulfocus、攻防世界等平臺排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書等。 擅長:

    2024年02月02日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包