阿里巴巴数据库事业部出品,为监控而生的数据库连接池 其提供监控功能,监控Sql执行时间,监控web URL的请求,Session监控等数据监控功能 使用Druid能有效的监控DB池连接和SQL的执行情况

druid虽高效好用,但当开发者配置不当时就可能造成未授权访问,攻击者可利用泄露的session登录后台

web目录

  1. /druid/index.html              ##Druid Index
  2. /druid/sql.html                ##Druid sql监控页面
  3. /druid/weburi.html            ##Druid Web URI监控页面
  4. /druid/websession.html        ##Druid Web Session监控页面 **
  6. json:
  7. /druid/weburi.json            ##Druid Web URI json
  8. /druid/websession.json        ##Druid Web Session json **
  10. Druid 登录接口:
  11. ip/druid/login.html                ##Druid登录认证页面

然后找个需要登录的链接用burp爆破 Session

利用工具

https://github.com/yuyan-sec/druid_sessions