1. druid未授权访问漏洞
druid提供监控管理页面
uri http://localhost:8089/druid/index.html
使用的druid依赖版本
<dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.9</version> </dependency>
这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞
2. 如何处理
首先需要升级依赖版本
我使用的是1.2.6,更多版本可以自己去 maven找
<dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.2.6</version> </dependency>
application.yml
可以根据需要自行修改
spring: datasource: druid: stat-view-servlet: enabled: false #使重置功能不起作用 reset-enable: false #配置访问监控view的用户名密码 login-username: root login-password: root #IP白名单 (没有配置或者为空,则允许所有访问) allow: 127.0.0.1,192.168.1.1 # IP黑名单 (存在共同时,deny优先于allow) # deny: 192.168.10.1
结果