Alibaba Druid 未授权访问解决方案

Dear 丶 2024-03-26 13:30 66阅读 0赞

## Alibaba Druid 未授权访问 ##

Alibaba Druid登录增加安全系数

### 方案一 ###

在DruidDBConfig中增加druidServlet方法，定义登录账号密码或者白名单访问，具体如下

@Bean
        public ServletRegistrationBean druidServlet() {
        
            ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean();
            servletRegistrationBean.setServlet(new StatViewServlet());
            servletRegistrationBean.addUrlMappings("/druid/*");
            Map<String, String> initParameters = new HashMap<>();
            initParameters.put("resetEnable", "false"); //禁用HTML页面上的“Rest All”功能
            initParameters.put("allow", "");  //ip白名单（没有配置或者为空，则允许所有访问）
            initParameters.put("loginUsername", "admin@123");  //++监控页面登录用户名
            initParameters.put("loginPassword", "admin@123");  //++监控页面登录用户密码
            initParameters.put("deny", ""); //ip黑名单
            //如果某个ip同时存在，deny优先于allow
            servletRegistrationBean.setInitParameters(initParameters);
            return servletRegistrationBean;
        }

### 方案二 ###

项目不使用或者很少用到Durid监控页，可以直接禁用

#是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
    spring.datasource.druid.stat-view-servlet.enabled=false

发表评论取消回复

表情：

评论列表（有 0 条评论，66人围观）

还没有评论，来说两句吧...

相关阅读

相关 Spring Boot后端： Actuator未授权访问漏洞解决

Spring Boot后端： Actuator未授权访问漏洞解决前言一、Actuator是什么？二、Actuator未授权访问漏洞是什么？

一时失言乱红尘/ 2024年03月30日 15:04/ 0 赞/ 97 阅读

相关 Java安全漏洞：Druid未授权访问解决

Java安全漏洞：Druid未授权访问前言一、Druid未授权访问原因分析二、解决办法 1.添加登录用户名密码 2.禁用

清疚/ 2024年03月30日 14:20/ 0 赞/ 77 阅读

相关 Alibaba Druid 未授权访问解决方案

Alibaba Druid 未授权访问 Alibaba Druid登录增加安全系数方案一在DruidDBConfig中增加druidServl

Dear 丶/ 2024年03月26日 13:30/ 0 赞/ 67 阅读

相关【未授权漏洞】PowerJob未授权访问漏洞(CVE-2023-29922)

0x01 漏洞描述 PowerJob是一个开源分布式计算和作业调度框架，它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V`4.3.1`版本存在安全漏洞，

╰半橙微兮°/ 2024年03月16日 16:40/ 0 赞/ 99 阅读

相关如何解决 Spring Boot Actuator 的未授权访问漏洞

[Spring Boot Actuator][] 的作用是提供了一组管理和监控端点，允许你查看应用程序的运行时信息，例如健康状态、应用程序信息、性能指标等。这些端点对于开发、[

女爷i/ 2024年03月02日 10:01/ 0 赞/ 119 阅读

相关 Redis未授权访问漏洞介绍及修复方案

Redis 漏洞介绍 1. 什么是Redis未授权访问漏洞 Redis 暴露在公网（即绑定在0.0.0.0:6379，目标IP公网可访问），并且没有开启相关认证和添加相

悠悠/ 2023年07月18日 09:36/ 0 赞/ 43 阅读

相关 Redis未授权访问的漏洞

【漏洞概述】 Redis 默认情况下，会绑定在 0.0.0.0:6379，导致Redis服务暴露到公网上。如果在没有开启认证并且在任意用户可以访问目标服务器的情况下，从而

缺乏、安全感/ 2022年05月13日 06:40/ 0 赞/ 280 阅读

相关 mongodb未授权访问漏洞

catalogue 1. mongodb安装 2. 未授权访问漏洞 3. 漏洞修复及加固 4. 自动化检测点 1. mongodb安装

向右看齐/ 2022年03月30日 07:58/ 0 赞/ 607 阅读

相关 redis未授权访问漏洞利用

参考：[https://blog.csdn.net/guxiaoguo/article/details/78913245][https_blog.csdn.net_guxiao

缺乏、安全感/ 2021年12月04日 01:25/ 0 赞/ 405 阅读

相关 redis 未授权访问详解

一. 应用介绍　　Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。和Memcached类似，它支持存

Dear 丶/ 2021年07月28日 15:13/ 0 赞/ 598 阅读