漏洞描述:
Druid(阿里巴巴数据库连接池)是一个开源的数据库连接池库,它提供了强大的数据库连接池管理和监控功能。
核心原因:Druid 管理后台(默认路径/druid/index.html或/api/admin/druid/index.html)默认未启用身份认证,且未限制访问来源 IP,导致攻击者可直接访问后台,获取数据库连接信息、SQL 执行记录、服务器监控数据等敏感内容。
等保公司扫描页面内容:
处理方案:
由于网址通过NGINX进行转发,直接针对该网址增加过滤即可(处理后截图如下)
但是还有其他方案:
1. 限制访问来源 IP(最快捷有效)
2. 临时关闭 Druid 管理后台(若无需使用)【Spring Boot 项目配置(application.yml)】
spring: datasource: druid: stat-view-servlet: enabled: true # 启用管理后台 login-username: admin # 自定义用户名(建议复杂名称) login-password: StrongP@ssw0rd # 强密码(字母+数字+特殊字符) allow: 192.168.1.0/24 # 仅允许内部网段访问(与防火墙规则叠加) deny: 0.0.0.0/0 # 拒绝其他所有 IP
