近期，时常有各种安全漏洞被相关部门稽核整改，其中 “Alibaba Druid 未授权访问” 是一个必改项。

问题描述

Alibaba Druid 默认情况下未设置访问控制，攻击者可以登录以获取敏感信息。

例如，访问：http://10.10.204.91:8081/druid/index.html 返回： 可以免授权方式直接进入 druid 管理页面。

危机分析：

druid作为数据库连接池，默认配置监控页存在漏洞，可以通过直接通过GET /druid/index.html 直接访问，存在数据库数据泄露的风险。

解决方案：

在yml配置文件中进行账号密码配置或者禁用页面

datasource:
        druid:
          # 配置DruidStatViewServlet
          stat-view-servlet:
            #enabled: false 这里设为false直接禁用访问页面，默认为true，有登录页面
            url-pattern: "/druid/*"
            # IP白名单(没有配置或者为空，则允许所有访问)
            allow: 127.0.0.1
            # IP黑名单 (存在共同时，deny优先于allow)
            # deny: 111.111.3.111
            #  禁用HTML页面上的“Reset All”功能
            reset-enable: false
            #druid登录页面账号密码
            # 登录名
            login-username: admin
            # 登录密码
            login-password: 6MV3ymN1vz9mhKJxj3gTz1123

注意： 必须将 druid-spring-boot-starter 升级到 1.2.6 版本及以上，否则上面的配置无效 ！