1.druid未授权访问漏洞
druid提供监控管理页面
uri?http://localhost:8089/druid/index.html
使用的druid依赖版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-starter</artifactId>
<version>1.1.9</version>
</dependency>
这个被安全扫描到 属于低风险漏洞druid未授权访问漏洞
2. 如何处理
首先需要升级依赖版本
我使用的是1.2.6,更多版本可以自己去maven找
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-starter</artifactId>
<version>1.2.6</version>
</dependency>
application.yml
可以根据需要自行修改
spring:
datasource:
druid:
stat-view-servlet:
enabled: false
#使重置功能不起作用
reset-enable: false
#配置访问监控view的用户名密码
login-username: root
login-password: root
#IP白名单 (没有配置或者为空,则允许所有访问)
allow: 127.0.0.1,192.168.1.1
# IP黑名单 (存在共同时,deny优先于allow)
deny: 192.168.10.1
结果
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。添加下方名片,即可获取全套学习资料哦