H2 Database Console未授权访问漏洞封堵

背景

H2 Database Console未授权访问,默认情况下自动创建不存在的数据库,从而导致未授权访问。各种未授权访问的教程,但是它怎么封堵呢?

-ifExists

很简单,启动参数添加 -ifExists ,它的含义:

-ifExists Only existing databases may be opened (all servers)

应用出厂时先创建好数据库文件后,修改启动脚本,添加该参数:

bash 复制代码
dir=$(dirname "$0")
nohup java -cp "$dir/h2-2.x.xx.jar:$H2DRIVERS:$CLASSPATH" org.h2.tools.Server -tcpAllowOthers -webAllowOthers -tcpPort -ifExists "$@" &

这样启动 h2 后首次访问时会因为 test 数据库不存在而无法连接:

只有输入正确的出厂数据库路径、帐号和密码,才能连接到操作页面。

其他尝试

还有一个 -webAdminPassord 参数,但是加上后一直报不支持的操作异常,最后只好作罢。

相关推荐
赵渝强老师24 分钟前
【赵渝强老师】达梦数据库的回滚数据
数据库·达梦数据库·国产数据库
从此以后自律29 分钟前
SQL 语句从基础到高级
数据库·oracle
IvorySQL40 分钟前
PG 日报|多款 PostgreSQL 工具新版本集中发布
数据库·postgresql
不剪发的Tony老师1 小时前
金仓数据库在线体验:简单易用
数据库·金仓数据库
techdashen1 小时前
Uber 的全局限流系统:从零散 Redis 限流到服务网格里的自动化流量保护
数据库·redis·自动化
白露与泡影1 小时前
慢 SQL 不一定是 SQL 慢:一次 MySQL 连接池耗尽的故障定位
数据库·sql·mysql
IT 小阿姨(数据库)2 小时前
PostgreSQL 因主库表空间错乱_缺少软链接、从库配置问题,导致主从复制故障【修复过程】
数据库·postgresql
爱敲代码的小鱼2 小时前
springsecurity:
java·开发语言·数据库
秋田君2 小时前
QT_QT信号与槽机制
开发语言·数据库·qt
DFT计算杂谈3 小时前
vasp如何计算金属的铁电极化强度?
数据库