【原理扫描】Alibaba Druid 未授权访问

问题描述

Alibaba Druid 默认情况下未设置访问控制，攻击者可以登录以获取敏感信息

---

原因分析：

druid作为数据库连接池，默认配置监控页存在漏洞，可以通过直接通过GET /druid/index.html 直接访问，存在数据库数据泄露的风险。

---

解决方案：

在yml配置文件中进行账号密码配置或者禁用页面

    datasource:
        druid:
          # 配置DruidStatViewServlet
          stat-view-servlet:
            #enabled: false 这里设为false直接禁用访问页面，默认为true，有登录页面
            url-pattern: "/druid/*"
            # IP白名单(没有配置或者为空，则允许所有访问)
            allow: 127.0.0.1
            # IP黑名单 (存在共同时，deny优先于allow)
            # deny: 111.111.3.111
            #  禁用HTML页面上的“Reset All”功能
            reset-enable: false
            #druid登录页面账号密码
            # 登录名
            login-username: admin
            # 登录密码
            login-password: 6MV3ymN1vz9mhKJxj3gTz1123