【漏洞】【Druid】Druid未授权访问漏洞，修复方案。springboot

Druid未授权访问漏洞，修复思路

    漏洞描述
    解决建议

漏洞描述

漏洞描述：
Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。
解决建议

解决建议：
修改中间件配置
给出的例子，springboot的配置

spring:
  datasource:
    druid:
      max-active: 10
      min-idle: 1
      stat-view-servlet:
        # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
        enabled: true
        # 禁用HTML页面上的"Reset All"功能
        reset-enable: false
        # 设置账户名称（增加登录权限）
        login-username: xxxx
        # 设置账户密码
        login-password: xxxxxxxx
        # IP白名单(没有配置或者为空，则允许所有访问)
        allow: 127.0.0.1
        # IP黑名单(存在共同时,deny优先于allow)
        deny: 10.0.0.1
        # 自定义druid连接
        url-pattern: '/druid/*'

有两种方法：
方法1： 设置StatViewServlet(监控页面)为 false
方法2： 给druid的web页面设置账户密码，增加访问druid的权限。

小编这里推荐方法2咯，毕竟自定义账户密码。鉴权后还是能去druid里面查看监控信息的

转自：https://blog.csdn.net/a987212198/article/details/122600940