漏洞说明：Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问.

直接在网站的url中后加上：
/druid/index.html
如果可以无需登录，即可登录到Druid监控界面，则说明该网站存在Druid未授权访问漏洞！
下面是某次实测时发现的未授权访问漏洞实例：

解决方法：

在配置文件中禁用druid监控页或添加用户名密码

    spring:
      datasource:
        druid:
          stat-view-servlet:
            # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动
            enabled: false
            url-pattern: '/druid/*'
            # IP白名单(没有配置或者为空，则允许所有访问)
            allow: 127.0.0.1,192.168.0.1
            # IP黑名单(存在共同时,deny优先于allow)
            deny: 192.168.0.0
            # 禁用HTML页面上的"Reset All"功能
            reset-enable: false
            # 登录名
            login-username: username
            # 登录密码
            login-password: password