【Druid 未授权访问漏洞】解决办法

【Druid 未授权访问漏洞】解决办法

漏洞描述

Alibaba Druid 未授权访问【原理扫描】 
Alibaba Druid是一款Java语言开发的数据库连接池。Druid能够提供强大的监控和扩展功能。 
Alibaba Druid 默认情况下未设置访问控制，攻击者可以登录以获取敏感信息 

修改web.xml文件

1. 进入到项目(galaxy)部署目录后,进入到WEB-INF目录。

cd server/web/webapps/webapp/WEB-INF

2. 修改web.xml文件

vi web.xml

3. 找到DruidStatView配置片段，增加用户名密码配置。

	
		DruidStatView
		com.alibaba.druid.support.http.StatViewServlet
        
		
			loginUsername
			admin
		
		
			loginPassword
			admin!QAZwsx
		
        
	

4. 重新启动项目。