【Druid 未授权访问漏洞】解决办法
漏洞描述
Alibaba Druid 未授权访问【原理扫描】
Alibaba Druid是一款Java语言开发的数据库连接池。Druid能够提供强大的监控和扩展功能。
Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息
修改web.xml文件
-
进入到项目(galaxy)部署目录后,进入到
WEB-INF
目录。cd server/web/webapps/webapp/WEB-INF
-
修改web.xml文件
vi web.xml
-
找到
DruidStatView
配置片段,增加用户名密码配置。<servlet> <servlet-name>DruidStatView</servlet-name> <servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class> <!-- 增加用户名密码 开始 --> <init-param> <param-name>loginUsername</param-name> <param-value>admin</param-value> </init-param> <init-param> <param-name>loginPassword</param-name> <param-value>admin!QAZwsx</param-value> </init-param> <!-- 增加用户名密码 结束 --> </servlet>
-
重新启动项目。