H2 Database Console未授权访问漏洞封堵

背景

H2 Database Console未授权访问,默认情况下自动创建不存在的数据库,从而导致未授权访问。各种未授权访问的教程,但是它怎么封堵呢?

-ifExists

很简单,启动参数添加 -ifExists ,它的含义:

-ifExists\] Only existing databases may be opened (all servers)

应用出厂时先创建好数据库文件后,修改启动脚本,添加该参数:

bash 复制代码
dir=$(dirname "$0")
nohup java -cp "$dir/h2-2.x.xx.jar:$H2DRIVERS:$CLASSPATH" org.h2.tools.Server -tcpAllowOthers -webAllowOthers -tcpPort -ifExists "$@" &

这样启动 h2 后首次访问时会因为 test 数据库不存在而无法连接:

只有输入正确的出厂数据库路径、帐号和密码,才能连接到操作页面。

其他尝试

还有一个 -webAdminPassord 参数,但是加上后一直报不支持的操作异常,最后只好作罢。

相关推荐
小蒜学长1 小时前
基于Spring Boot的火灾报警系统的设计与实现(代码+数据库+LW)
java·数据库·spring boot·后端
福赖1 小时前
《MySQL基础——C 语言链接》
c语言·数据库·mysql
KIDAKN1 小时前
Redis 分布式锁
数据库·redis·分布式
程序新视界1 小时前
如何为MySQL中的JSON字段设置索引
数据库·mysql
Ultipa2 小时前
查询语言的进化:SQL之后,为什么是GQL?数据世界正在改变
数据库·sql·图数据库·gql
LB21122 小时前
SQL隐式链接显式连接
大数据·数据库·sql
隔壁阿布都3 小时前
spring boot + mybatis 使用线程池异步修改数据库数据
数据库·spring boot·mybatis
MAGICIAN...10 小时前
【Redis】--持久化机制
数据库·redis·缓存
我真的是大笨蛋10 小时前
JVM调优总结
java·jvm·数据库·redis·缓存·性能优化·系统架构
步步为营DotNet12 小时前
5-2EFCore性能优化
数据库·性能优化·.net