1. 问题描述

druid是国内及公司内部最常用的数据库连接池配置管理工具;其内置监控页面,用于拦截sql及实时监控连接池/sql信息,该页面在原生的druid包中默认为禁用,但其用于适配springboot的druid-spring-boot-starter包,默认打开该监控页面(http://ip:port/druid/index.html) ,打开后存在如下风险:

1.1 暴露DB信息

由于druid监控页面地址是固定的,容易被猜,监控页面默认没有任何安全措施,容易暴露项目信息,如:数据库域名地址、库名、表名、查询的sql及url等,如果druid有漏洞,甚至可能被攻击。

泄漏DB域名、使用用户及库名:

泄漏SQL信息:

泄漏URL信息:

1.2 成为非法广告的肉机

监控页面中的多个tab页含阿里云广告,且power by连接到作者个人域名,估计没续费,已被澳门赌场站点抢占,国内该类广告是违法的,如下图:

2. 影响范围

springboot项目:该问题我们已向官方提交request官方尚未修复,所以我们使用的任意版本druid-spring-boot-starter都有问题。

非sprinboot项目:如果手

druid监控页面 关闭_druid-springboot-starter默认启用监控页面,公网项目可能外泄DB信息...相关推荐

  1. druid监控页面 关闭_druid 监控页面显示了多个数据源信息

    大家好,请问一下为什么我配置完成之后,在数据源监控页面能看到多个数据源的信息,按理说应该只有一个数据源才对的我是用的spring的jdbcTemplate,然后将jdbcTemplate的dataSo ...

  2. window.open 打开vue路由,并监听页面关闭事件,监听子父页面消息传递

    name:路由 query:传递参数 const page2 = this.$router.resolve({name:'addHs',query:{hsCode:row.hsCode}}); var ...

  3. 关于IOS无法在微信浏览器页面关闭时调用ajax问题

    经测试,以下方法为监听ios页面关闭的方式 window.addEventListener('pagehide', function () {//页面关闭时触发 }); 但上述方法内无法调用ajax. ...

  4. Druid关闭监控页面关闭不了

    项目里连接数据库使用了阿里开源的druid,结果被发现有安全漏洞,可以直接访问到druid的监控界面.但是奇怪的是,明明在yml文件里配置了关闭,同时allow的访问IP是127.0.0.1,还设置了 ...

  5. druid监控页面 关闭_阿里Druid监控页面分析

    本文主要介绍Druid监控页面的生成流程及代码手法 监控效果图 以下是Druid自带的监控页面图,主要用于展示在DruidDataSource数据源当中存储的监控信息,这部分监控信息存储在内存中,通过 ...

  6. druid监控无法关闭(坑),及处理方式

    最近,在使用阿里巴巴的 druid 1.1.0版本上线后发现默认开启了监控,而且还是可以公开访问,有泄露项目信息的风险,网上试了几个关闭的方法都没起作用,这个东西巨坑: 1.在配置文件试过了各种各样的 ...

  7. 【Web技术】1486- 在页面关闭时提交监控数据的4个解决方案

    概览 本文以 "前端监控上报数据" 的业务场景,重点解析在 页面实例关闭 时,如何将监控数据上传到服务端的解决方案. 其中,涉及到4种方案,分别为: 同步XMLHttpReques ...

  8. 【Web技术】1424- 4 种在页面关闭时上传监控数据的解决方案

    来自:掘金,作者:我是leon 链接:https://juejin.cn/post/7106365076197605413 概览 本文以 "前端监控上报数据" 的业务场景,重点解析 ...

  9. SpringBoot 如何统计、监控 SQL运行情况?

    点击关注公众号,实用技术文章及时了解 来源:juejin.cn/post/7062506923194581029 1 基本概念 Druid 是Java语言中最好的数据库连接池. 虽然 HikariCP ...

  10. 关于springboot 的默认数据源

    springboot 如果不配置数据源 默认会使用HikariCP Spring Boot 2默认数据库连接池选择了HikariCP 默认的数据库连接池由Tomcat换成HikariCP. 如果在一个 ...

最新文章

  1. R语言dplyr包distinct函数去除重复数据行实战
  2. Oracle推出轻量级Java微服务框架Helidon
  3. mysql 查询慢 分析_MySQL优化:定位慢查询的两种方法以及使用explain分析SQL
  4. LeetCode 954. 二倍数对数组(map计数)
  5. Python安装与环境变量的配置
  6. linux命令和应用程序,在Linux中开发C应用程序时的重要且方便的工具和命令
  7. PHP基础知识之文件加载
  8. oracle数据泵备份单表,使用数据泵备份/恢复某些表
  9. 温度转换问题——从C到Python
  10. Session Cookies Not Marked as Secure
  11. 如何判断你是合格的高级iOS开发工程师?
  12. 汇金蛛:推荐在家0成本,有营养的副业兼职
  13. 企业级Docker Registry —— Harbor搭建和使用
  14. 优柔但不寡断、柔弱绝不可欺、善良却不可骗、宽容而非懦弱
  15. 用Ubuntu编写第一个C程序并预处理、编译、汇编、链接
  16. java 降级_基于本地缓存的 fallback 降级机制
  17. apache log4j漏洞复现
  18. 重新学习ava(三) ---- 面向对象之继承!
  19. ffmpeg 设定码率
  20. Unity2019刷地形教程

热门文章

  1. ibm tivoli_带有Tivoli Access Manager的SAP NetWeaver Application Server ABAP的单点登录
  2. 云有约 | 首攻RSA,天空卫士“秀肌肉”怎么样了?
  3. 小草 李白 《菩萨蛮》
  4. element-ui组件的下载与安装
  5. wireshark使用Lua解析带有固定头和长度
  6. php5.6安装zendopcache加速
  7. HANA 存储过程 YTD
  8. 分步:配置 IPAM 以管理 IP 地址空间
  9. 微信小程序图片懒加载(自定义组件)
  10. 什么手机便签软件好用