【Druid 未授权访问漏洞】解决办法

【Druid 未授权访问漏洞】解决办法

漏洞描述

Alibaba Druid 未授权访问【原理扫描】 
Alibaba Druid是一款Java语言开发的数据库连接池。Druid能够提供强大的监控和扩展功能。 
Alibaba Druid 默认情况下未设置访问控制,攻击者可以登录以获取敏感信息 

修改web.xml文件

  1. 进入到项目(galaxy)部署目录后,进入到WEB-INF目录。

    cd server/web/webapps/webapp/WEB-INF

  2. 修改web.xml文件

    vi web.xml

  3. 找到DruidStatView配置片段,增加用户名密码配置。

     <servlet>
     	<servlet-name>DruidStatView</servlet-name>
     	<servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>
         <!--	增加用户名密码  开始	-->
     	<init-param>
     		<param-name>loginUsername</param-name>
     		<param-value>admin</param-value>
     	</init-param>
     	<init-param>
     		<param-name>loginPassword</param-name>
     		<param-value>admin!QAZwsx</param-value>
     	</init-param>
         <!--	增加用户名密码  结束	-->
     </servlet>
    
  4. 重新启动项目。

相关推荐
爱看老照片5 个月前
【4th chapter】信息安全技术—安全技术、安全架构、安全策略、安全管理、软件的脆弱性
安全·安全策略·安全架构·安全管理·安全技术·软件的脆弱性