01 Druid未授权错误及解决方案

已于 2024-10-22 09:11:29 修改
阅读量2.2k 收藏 6
点赞数 25
分类专栏: 系统开发日记 文章标签: hive hadoop 数据仓库
于 2024-10-21 18:58:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m1m2m3mmm/article/details/143121229
版权

目录

1 问题描述

2 解决方案

2.1 处理思路

2.2 具体操作

3 过程中遇到困难

Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。

1 问题描述

直接在网站的url中后加上:/druid/index.html

如果可以无需登录,即可登录到Druid监控界面,则说明该网站存在Druid未授权访问漏洞!

如果没有安全漏洞,则要么是出现登录界面,要么直接弹Whitelabel Error Page错误了。

危害:

监控界面会显示数据源,sql监控,sql防火墙,web应用,url监控,session监控,spring监控等信息,可以详细监控该网站的情况,获取敏感信息,攻击者无需登录即可直接获取这些信息。如果有Druid未授权漏洞,则可能会造成数据泄露、服务器失陷等危害。

2 解决方案

2.1 处理思路

这类Druid未授

最低0.47元/天 解锁文章
【漏洞挖掘】——90、Druid未授权访问漏洞
Fly_鹏程万里
06-14 1128
Druid是一款前端界面非常友好的数据库连接池,它可以实现监控数据源、连接池、SQL执行情况等,由于Druid的设置里面带有后台管理页面,而该页面默认是不需要登录即可访问从而造成了未授权访问的漏洞,对于该漏洞,攻击者可以通过该页面直接操作数据库,甚至可以获取权限进而控制整个数据库。
web渗透测试漏洞复现:Druid 未授权访问
HACKONE的博客
03-20 2050
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
Druid未授权访问漏洞修复
雅俗共赏的博客
06-13 5029
安全组针对系统漏扫发现系统存在Druid未授权访问,会引发泄露系统敏感信息。
Druid未授权漏洞深度利用|挖洞技巧,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
04-07 1117
各位观众老爷们,今天给大家带来一场某SRC的渗透实战秀。虽然不是什么惊天大案,但绝对能给你的实战思路充充电!
Druid未授权访问解决
weixin_50003028的博客
09-03 3780
需要明确: Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。(1)可以继续使用Druid监控管理功能。
Druid 未授权访问漏洞】解决办法
苏叶新城
07-13 1914
【代码】【Druid 未授权访问漏洞】解决办法。
Druid未授权漏洞进一步的利用
qq_53058639的博客
02-19 6792
对于druid未授权,大多数白帽子在做测试的时候都是当作一个低危的信息泄露来处理,但是其实如果利用条件都达成了,运气够好的话,造成的危害还是不小的。这也告诉我们以后碰到这种未授权漏洞,可以多收集一些信息,扩宽一下测试思路,说不定就能获得更大的收获。
druid未授权访问漏洞修复方案
men_nang的专栏
11-19 1707
需要明确: Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。修复风险: 修改配置文件需要重启业务,可能影响业务正常运行 建议 优先考虑使用1,其余方案为临时解决方案 请在测试环境试验后,再对生产环境进行修复。为了彻底避免未授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。
Java安全漏洞:Druid未授权访问解决
qq_46119575的博客
01-04 2万+
Java安全漏洞:Druid未授权访问解决
Druid配置错误导致未授权访问漏洞
qq_43936524的博客
02-15 1万+
在使用xray扫描时发现了下图所示漏洞,经过查阅资料发现为druid未授权访问漏洞。 Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。 检测和利用方法: 在网站后加上/druid/index.html,如果可以看到如下界面则说明漏洞存在 此页面可得到大量敏感信息,其中url监控可得到网站的结构目录,session监控可得
【实战演练】:SpringBoot3与Druid连接池整合,解决常见错误与性能优化
[【实战演练】:SpringBoot3与Druid连接池整合,解决常见错误与性能优化](https://opengraph.githubassets.com/78f4d1767c47fe30a18e70f3a4e4528eb704093f7d0a2701befd193f17df2da9/alibaba/druid/issues/1850) ...
常规Java工具,算法,加密,数据库,面试题,源代码分析,解决方案
10-30
阿里巴巴 Druid 数据源配置 6年前 AngularJS_String_SubString angularjs 字符串截取过滤器,用于截取字符串 6年前 大数据ETL 提取、转换 6年前 C# 通过系统剪切板把HTML复制到Word中,并且保留原来的格式 6年前 ...
Druid 面试题及答案整理,最新面试题
Miss_SunHengYang的博客
07-17 1197
通过这些连接测试策略,Druid确保了连接池中的连接都是有效可用的,从而提高了数据库操作的稳定性和效率。Druid通过这些机制和功能支持大数据量的处理,能够满足大规模数据处理的需求,提高系统的处理能力和效率。通过这些步骤,可以有效地进行Druid数据库连接池的容量规划,确保数据库资源的高效利用和应用性能的稳定。Druid通过这些机制,能够实现数据库连接的弹性伸缩性管理,适应业务负载的变化,保证系统性能和稳定性。通过Statement缓存机制,显著提升了数据库操作的性能,特别是对于频繁执行的查询和更新操作。
【Java】Druid未授权访问漏洞如何处理
姜太小白的博客
07-06 9183
Druid未授权访问漏洞如何处理
druid未授权命令执行漏洞复现(CVE-2021-25646)
尘玥的故事
06-01 1541
由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。druid未授权命令执行漏洞复现(CVE-2021-25646)
Druid未授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6886
Druid未授权访问 漏洞复现
【漏洞】【DruidDruid未授权访问漏洞,修复方案。springboot
热门推荐
a987212198的博客
01-20 3万+
Druid未授权访问漏洞,修复思路漏洞描述解决建议 漏洞描述 漏洞描述: Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。 解决建议 解决建议: 修改中间件配置 给出的例子,springboot的配置 spring: datasource: druid: max-active: 10 mi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

薛桂琴

喜欢的读者,可以打赏鼓励一下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值