01 Druid未授权错误及解决方案

目录

[1 问题描述](#1 问题描述)

[2 解决方案](#2 解决方案)

[2.1 处理思路](#2.1 处理思路)

[2.2 具体操作](#2.2 具体操作)

[3 过程中遇到困难](#3 过程中遇到困难)


Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。

1 问题描述

直接在网站的url中后加上:/druid/index.html

如果可以无需登录,即可登录到Druid监控界面,则说明该网站存在Druid未授权访问漏洞!

如果没有安全漏洞,则要么是出现登录界面,要么直接弹Whitelabel Error Page错误了。

危害:

监控界面会显示数据源,sql监控,sql防火墙,web应用,url监控,session监控,spring监控等信息,可以详细监控该网站的情况,获取敏感信息,攻击者无需登录即可直接获取这些信息。如果有Druid未授权漏洞,则可能会造成数据泄露、服务器失陷等危害。

2 解决方案

2.1 处理思路

这类Druid未授权漏洞的处理建议为:

  1. 设置StatViewServlet(监控页面)为 false。
  2. 给druid的web页面设置账户密码,增加访问druid的权限。

2.2 具体操作

修改java程序的yml文件,在yml文件中找到如下内容

java 复制代码
spring:
  datasource:
    druid:
      max-active: 10
      min-idle: 1
      stat-view-servlet:
        # 是否启用StatViewServlet(监控页面),默认true-启动,false-不启动
        enabled: true
        # 禁用HTML页面上的"Reset All"功能
        reset-enable: false
        # 设置账户名称(增加登录权限)
        login-username: xxxx
        # 设置账户密码
        login-password: xxxxxxxx
        # IP白名单(没有配置或者为空,则允许所有访问)
        allow: 127.0.0.1
        # IP黑名单(存在共同时,deny优先于allow)
        deny: 10.0.0.1
        # 自定义druid连接
        url-pattern: '/druid/*'

方案1:如果enabled设置为true,同时设置了账户密码,则用户访问/druid/index.html页面时,会弹出登录界面:

用户在登录之后,即可查看后台监控信息。

方案2:如果enabled设置为false,相当于把监控页面关了,会弹出如下界面:

3 过程中遇到困难

由于我是在本地打的jar包,然后在服务器上启动的,运行过程中遇到的几个坑:

  1. 修改yml文件后,要本地运行一下,如果报错直接跳过不用管,然后再打包;如果直接打包,可能打的不是你修改的yml
  2. 将打的包拷贝到服务器后,在启动服务之前,要使用 ps aux指令查看一下是否存在你这个jar包的进程
    1. 如果有,找到进程的PID,
      1. 然后使用 kill -9 PID命令,将这个正在运行的PID关掉。(排查过程可以从index.html页面上的日期和你的jar包的名称快速定位到要找的PID)
      2. 然后使用 java -jar **.jar命令,启动你新编译的jar包。
    2. 如果没有,直接使用 java -jar **.jar命令,启动你新编译的jar包。
  3. 启动完成后,会在控制台出现 startup的字样,说明启动成功了;如果没弹出来,就再检查下,看看是不是上面的步骤没有做到位。
  4. 在启动jar包时,如果希望该jar包一直运行,则需要使用指令 java -jar **.jar & 命令;不加 & 则可能在息屏时,jar包会停止运行。
相关推荐
牛奶咖啡137 小时前
大数据Hadoop运维应用实践——双NameNode高可用Hadoop集群架构(上)
hadoop·高可用hadoop集群搭建·给服务器做免密信任·修改服务器主机名称·服务器本地配置主机名与ip映射·服务器配置jdk环境·服务器安装zooker
jjjava2.01 天前
SpringMVC入门指南:从零掌握核心要点
数据仓库·hive·hadoop
Jay_Franklin1 天前
Python 数据处理工作流:marimo、PyCharm 与数据存储
开发语言·数据仓库·ide·python·pycharm·数据分析·开源
ljs6482739512 天前
Hadoop集群部署常见问题
大数据·hadoop·分布式
TTBIGDATA3 天前
【Ambari Plus】14.Hue 安装
大数据·hadoop·ambari·hdp·hue·cdh·bigtop
RestCloud3 天前
借助ETL工具,实现AI智能体+数据的落地
数据仓库·人工智能·sql·etl·etlcloud·数据集成平台·java脚本
AllData公司负责人3 天前
数据库同步平台|AIIData数据中台实现OceanBase、达梦数据库、OpenGauss、人大金仓、Hive、TDengine 一键接入Doris
大数据·数据库·hive·mysql·oceanbase·tdengine
2501_942389553 天前
特斯拉的车辆摄像头每四天为AI训练集采集的数据量
人工智能·hadoop·zookeeper·oracle·时序数据库·memcache
AllData公司负责人3 天前
数据同步平台|AIIData数据中台实现MySQL、Hive、Kafka 一键接入Doris
大数据·数据库·hive·mysql·kafka·实时同步
RestCloud3 天前
2026数据集成工具最新选型建议:ETL/ELT怎么选,都应该带有什么功能
数据仓库·etl·etlcloud·数据传输·数据同步·数据集成工具·elt