Druid关闭监控页面关闭不了

已于 2022-12-29 14:59:23 修改
阅读量3.9k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 日常工作问题 SpringBoot 文章标签: java 数据库
于 2022-12-29 14:47:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45614626/article/details/128481878
本文详细介绍了使用阿里开源的Druid数据库连接池时遇到的安全漏洞问题。尽管已在yml文件中配置关闭监控页面并设置了访问限制,但仍无法阻止未授权访问。文章提供了具体的配置示例,并分享了最终通过替换为HikariCP来解决问题的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目里连接数据库使用了阿里开源的druid,结果被发现有安全漏洞,可以直接访问到druid的监控界面。但是奇怪的是,明明在yml文件里配置了关闭,同时allow的访问IP是127.0.0.1,还设置了用户名和密码,但是就是关不了,配置如下:

datasource:
    x-wr:
      driverClassName: com.mysql.jdbc.Driver
      name: mysql
      type: com.alibaba.druid.pool.DruidDataSource
      druid:
        #基本属性
        url: jdbc:mysql://
        username: x_rw
        password: 11111
        filter:
          stat:
            enabled: false #默认值为true,监控sql\慢sql等功能,我们建议修改为false,如果需要打开监控页面或者将慢sql输出到日志中,则修改为true。
          wall:
            enabled: false #默认值为false,sql防火墙,支持过滤sql,如禁止使用delete *等操作。
          slf4j:
            enabled: false #指定使用slf4j日志组件,支持选择将各种操作过程输出到日志中。
          log4j2:
            enabled: false #指定使用log4j2日志组件,支持选择将各种操作过程输出到日志中。
          log4j:
            enabled: false #指定使用log4j日志组件,支持选择将各种操作过程输出到日志中。
          commons-log:
            enabled: false #指定使用commons-log日志组件,支持选择将各种操作过程输出到日志中。
          stat-view-servlet:
            enabled: false #默认值为true,即打开监控页面,但存在泄漏信息的风险,所以修改为false
            login-username: hhhh #配置监控页面登录用户名,启用监控页面后才可用,建议业务方,重新定义,别使用我们的给定值
            login-password: ssdd #配置监控页面登录密码,启用监控页面后才可用,建议业务方,重新定义,别使用我们的给定值
            allow: 127.0.0.1 #配置允许访问监控页面的IP地址
          web-stat-filter:
            enabled: false #默认值为true,统计web关联的监控信息如session/url等,建议修改为false
            session-stat-enable: false #该功能模块代码不完善,特定场景下会诱发异常,非特别需求,建议修改为false
        #配置初始化大小/最小/最大
        initial-size: 1
        min-idle: 1
        max-active: 20
        #获取连接等待超时时间
        max-wait: 60000
        #间隔多久进行一次检测,检测需要关闭的空闲连接
        time-between-eviction-runs-millis: 60000
        #一个连接在池中最小生存的时间
        min-evictable-idle-time-millis: 300000
        validation-query: SELECT 'x'
        test-while-idle: true
        test-on-borrow: false
        test-on-return: false
        #打开PSCache,并指定每个连接上PSCache的大小。oracle设为true,mysql设为false。分库分表较多推荐设置为false
        pool-prepared-statements: false
        max-pool-prepared-statement-per-connection-size: 20
        connection-init-sqls: set names utf8mb4
    x-ro:
      driverClassName: com.mysql.jdbc.Driver
      name: mysql
      type: com.alibaba.druid.pool.DruidDataSource
      druid:
        #基本属性
        url: jdbc:mysql://
        username: x_ro
        password: 00000
        filter:
          stat:
            enabled: false #默认值为true,监控sql\慢sql等功能,我们建议修改为false,如果需要打开监控页面或者将慢sql输出到日志中,则修改为true。
          wall:
            enabled: false #默认值为false,sql防火墙,支持过滤sql,如禁止使用delete *等操作。
          slf4j:
            enabled: false #指定使用slf4j日志组件,支持选择将各种操作过程输出到日志中。
          log4j2:
            enabled: false #指定使用log4j2日志组件,支持选择将各种操作过程输出到日志中。
          log4j:
            enabled: false #指定使用log4j日志组件,支持选择将各种操作过程输出到日志中。
          commons-log:
            enabled: false #指定使用commons-log日志组件,支持选择将各种操作过程输出到日志中。
          stat-view-servlet:
            enabled: false #默认值为true,即打开监控页面,但存在泄漏信息的风险,所以修改为false
            login-username: hhhh #配置监控页面登录用户名,启用监控页面后才可用,建议业务方,重新定义,别使用我们的给定值
            login-password: ssdd #配置监控页面登录密码,启用监控页面后才可用,建议业务方,重新定义,别使用我们的给定值
            allow: 127.0.0.1 #配置允许访问监控页面的IP地址
          web-stat-filter:
            enabled: false #默认值为true,统计web关联的监控信息如session/url等,建议修改为false
            session-stat-enable: false #该功能模块代码不完善,特定场景下会诱发异常,非特别需求,建议修改为false
        #配置初始化大小/最小/最大
        initial-size: 1
        min-idle: 1
        max-active: 20
        #获取连接等待超时时间
        max-wait: 60000
        #间隔多久进行一次检测,检测需要关闭的空闲连接
        time-between-eviction-runs-millis: 60000
        #一个连接在池中最小生存的时间
        min-evictable-idle-time-millis: 300000
        validation-query: SELECT 'x'
        test-while-idle: true
        test-on-borrow: false
        test-on-return: false
        #打开PSCache,并指定每个连接上PSCache的大小。oracle设为true,mysql设为false。分库分表较多推荐设置为false
        pool-prepared-statements: false
        max-pool-prepared-statement-per-connection-size: 20
        connection-init-sqls: set names utf8mb4

试了各种方法都不行,于是上网查了一下,发现确实是个bug(可以参考这篇博客bug),于是解决方法就只能变成替换成hikari,怎么替换可以看我的博客hikari替换druid

如何去除Druid数据监控广告?
猿小白的博客
12-22 1563
服务监控中使用的Driud,默认底部有阿里的广告。如果是一个商业项目这个是很不雅也是不允许的,具体去除广告的步骤如下: 1、找到本地maven库中的对应的druid-1.1.xx.jar文件,用压缩包软件打开 2、找到support/http/resource/js/common.js, 打开找到 buildFooter 方法 this.buildFooter(); buildFooter : function() { var html ='此处省略一些相关JS代码'; $(document.
druid监控页面 关闭_SpringBoot详解(8)druid
weixin_30093045的博客
01-01 3012
什么是druidDruid是阿里开源的数据库连接池项目,它还包含一个ProxyDriver,一系列内置的JDBC组件库,一个SQLParser。Druid支持所有JDBC兼容的数据库,包括Oracle、MySql、Derby、Postgresql、SQLServer、H2等等。在我们的微服务项目中,可以使用druid来进行数据库连接,并且在druid中内置了SQl监控和URL访问监控,可以实时的...
关闭canal-adapter druid监控
yu980219的博客
03-01 1031
本文介绍了如何关闭Canal-Adapter的Druid监控页,以解决安全组漏洞扫描中发现的问题。通过排查思路,发现8081端口对应的进程是CanalAdapter程序,进而确定监控页是该程序产生的。在解决思路上,首先尝试在Canal官网的issues中寻找类似问题的解决方案,但并未找到明确答案。因此,决定修改源码来关闭监控页。通过下载源码、找到对应类并修改相关配置,实现了关闭Druid监控页的目的。同时,提供了两种修改源码的方法,一种是直接关闭监控页,另一种是增加用户名和密码授权来限制访问。
druid监控页面 关闭_阿里Druid监控页面分析
weixin_39765100的博客
12-20 2418
本文主要介绍Druid监控页面的生成流程及代码手法监控效果图以下是Druid自带的监控页面图,主要用于展示在DruidDataSource数据源当中存储的监控信息,这部分监控信息存储在内存中,通过json格式的数据展示到页面上。Druid监控页面页面分析问题1: 页面是如何展示出来的?步骤一: 先找到资源文件查看源码jar包可以知道,页面被存放在support文件目录下的http.resource...
深入配置与使用Druid数据库连接池及其监控特性
最新发布
weixin_42561464的博客
05-29 1243
Druid支持自定义监控指标,如应用程序自定义的业务指标。自定义监控指标可以在应用程序中通过编写特定的代码来实现。用户可以添加自定义的JMX指标,并在监控页面中查看。在实际应用中,可能需要对报警系统进行更细致的自定义以满足特定场景的需求。为了满足复杂业务场景下的需求,Druid提供了报警规则的自定义能力。用户可以基于监控数据和业务需求编写特定的规则逻辑。例如,可以编写自定义的Java类来定义规则:@Override// 根据事件内容编写匹配逻辑@Override。
druid监控无法关闭(坑),及处理方式
热门推荐
小肥宅的博客
10-21 1万+
更为详细的配置信息可以查看:https://github.com/brettwooldridge/HikariCP。以上方法试过均无效,然后再源码中看到了一些东西。
关闭druid监控页面
Milkhk的博客
08-22 2999
如何关闭 druid监控页面,一直不想改代码,连接池啥的,只想改配置文件,网上各式各样的配置文件都试了没有,还是能访问到 、druid/index.html 页面, 就在一筹莫展的时候,同事说那你直接给这个页面拦截了不行吗,真是一语点醒梦中人啊,然后重启 nginx服务后,果然 druid/index.html 访问不到了,解决了一个安全漏洞~
「Spring Boot 2.4 新特性」启动耗时详细监控
冷冷的博客
12-09 1993
背景 Spring Boot 项目随着项目开发过程中引入中间件数量的增加,启动耗时 逐渐增加。 笔者在 《Spring Boot 2.4.0 正式 GA,全面拥抱云原生》文章评论下发现了 Spring 生态复杂,非官方插件并未严格按官方标准实现。例如 @Configuration 注解提供了 proxyBeanMethods 属性默认开启,建议常见情况手动关闭提高性能。笔者在观察大部分非官方插件 stater 并未引入此属性。诸如此类的优化策略很多(建议翻一下笔者历史博客),但往往被开发者忽略,导致使用
druid监控页面 关闭_Druid集成 +监控页面
weixin_29028611的博客
02-23 2927
POM4.0.0org.springframework.bootspring-boot-starter-parent2.1.2.RELEASEcom.boolibmysql-druid0.0.1-SNAPSHOTmysql-druidDemo project for Spring Boot1.8org.springframework.bootspring-boot-starter-thymelea...
解决 Druid 监控漏洞的最佳实践
cooldream2009的博客
07-24 2213
Druid 是一个开源的分布式数据存储系统,广泛应用于实时分析和数据可视化。然而,Druid 监控页面存在一个潜在的安全漏洞:如果没有适当的访问控制,任何人都可以直接登录并查看系统中的大量信息。这不仅威胁到数据的安全性,还可能导致系统的稳定性问题。本文将详细介绍该漏洞的描述,并提供解决该漏洞的方法,包括添加用户名和密码保护以及关闭监控页面的步骤。
druid监控页面 关闭_druid 监控页面显示了多个数据源信息
weixin_39900045的博客
12-20 658
大家好,请问一下为什么我配置完成之后,在数据源监控页面能看到多个数据源的信息,按理说应该只有一个数据源才对的我是用的spring的jdbcTemplate,然后将jdbcTemplate的dataSource设置为druid数据源;下面是我spring里面的配置以及druid里的配置spring配置:destroy-method="close" >value="${maxOpenPrepar...
druid关闭监控页面
05-30
关闭Druid监控页面,可以在Druid的配置文件中设置以下属性: ``` druid.monitor.enabled=false ``` 将上述属性设置为false即可关闭Druid监控页面。请注意,这会禁用Druid监控功能,因此在生产环境中关闭监控...
SpringMVC拦截Druid数据监控页面
weixin_44216706的博客
05-18 2413
今日写权限验证的时候,发现拦截器并不能拦截/druid/index druid版本:1.1.21 spring-mvc <mvc:view-controller path="/monitor" view-name="redirect:/druid/index"/> html <a th:href="@{~/druid/index}" class="text-dark">数据监控</a> 然后上网查了一下,如下 但是我用AOP注解,和AOP xml都试了一下,都
druid 手动指定数据源_Springboot集成 Druid
weixin_40001275的博客
11-21 734
前言对于数据访问层,无论是Sql还是NoSql,SpringBoot默认采用整合SpringData的方式进行统一管理,添加大量的自动配置,屏蔽了很多设置。引入了各种XxxTemplate和XxxRepository来简化我们队数据访问层的操作。SpringBoot2.0默认是用com.zaxxer.hikari.HikariDataSource作为数据源。2.0以下默认采用的是org.apach...
关闭 druid监控 实测好用
zheyijieyou的博客
03-04 1076
druid
druid监控页面 关闭_Druid在滴滴应用实践及平台化建设
weixin_39954487的博客
12-30 244
【IT168 专稿】本文根据刘博宇老师在2018年5月11日【第九届中国数据库技术大会】现场演讲内容整理而成。讲师简介:刘博宇,滴滴出行高级软件开发工程师,就职于滴滴基础平台大数据架构部。负责Druid集群维护与研发工作。摘要:Druid是一款支持数据实时写入、低延时、高性能的OLAP引擎,具有优秀的数据聚合能力与实时查询能力。在大数据分析、实时计算、监控等领域都有特定的应用场景,是大数据基础架构...
JavaDruid关闭监控
hgSuper的博客
05-19 5139
一、拿来即用 yml配置文件 # Spring配置 spring: # 数据源配置 datasource: type: com.alibaba.druid.pool.DruidDataSource driverClassName: oracle.jdbc.driver.OracleDriver url: jdbc:oracle:thin:@127.0.0.1:1521:orcl username: name pas
Druid关闭监控页面及设置密码
丨Anna丨的博客
05-14 5605
Druid关闭监控页面及设置密码 1 spring web.xml配置 1.1开启监控页面 web.xml添加 <servlet> <servlet-name>druidStatView</servlet-name> <servlet-class>com.alibaba.druid.support.http.StatViewServlet</servlet-class> </servlet> <ser...
Druid 在有赞的使用场景及应用实践
cpongo011702
10-19 817
一、Druid 介绍Druid 是 MetaMarket 公司研发,专为海量数据集上的做高性能 OLAP (OnLine Analysis Processing)而设计的数据存储和分析系统,目前 Druid 已经在 Apache 基金会下孵化。Druid 的主要特性:交互式查询( Interactive Query ): Druid 的低延迟数据摄取架构允许事件在它们创建后毫秒内查询,因为 Dru...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值