Druid未授权访问

1、漏洞简介

Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控WebURI的请求、Session监控，首先Druid是不存在漏洞的。但当开发者配置不当时就可能造成未授权访问。

2、漏洞检测

http://IP:PORT/druid/index.html

http://IP:PORT/druid/websession.html

http://IP:PORT/druid/datasource.html

http://IP:PORT/druid/sql.html

http://IP:PORT/druid/spring.html

如果可以无需登录，即可登录到Druid监控界面，则说明该网站存在Druid未授权访问漏洞

3、漏洞修复

1）升级版本1.2.6或者更高

2）StatViewServlet是一个标准的javax.servlet.http.HttpServlet，需要配置在你web应用中的WEB-INF/web.xml中。

<!-- 配置 Druid 监控信息显示页面 -->  
<servlet>  
    <servlet-name>DruidStatView</servlet-name>
    <servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class>
    <init-param>  
        <!-- 允许清空统计数据 -->
        <param-name>resetEnable</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <!-- 用户名 -->
        <param-name>loginUsername</param-name>
        <param-value>druid</param-value>
    </init-param>  
    <init-param>
        <!-- 密码 -->
        <param-name>loginPassword</param-name>  
        <param-value>druid</param-value>  
    </init-param>  
</servlet>  
<servlet-mapping>  
    <servlet-name>DruidStatView</servlet-name>  
    <url-pattern>/druid/*</url-pattern>  
</servlet-mapping>