web漏洞-Jeecg-Boot存在未授权访问_1.1.2jeecgboot接口文档未授权访问

一、介绍

Jeecg-Boot是一款基于BPM的低代码平台，零代码开发！采用前后端分离架构： SpringBoot 2.x，Ant Design&Vue，Mybatis-plus，Shiro，JWT。强大的代码生成器让前后端代码一键生成，无需写任何代码！！帮助Java项目解决70%的重复工作，让开发更关注业务逻辑，既能快速提高效率，节省研发成本，同时又不失灵活性！同时具备更强大的低代码能力：Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等...

二、发现过程

方法一：通过抓包

发现系统采用了jeecg-boot快速开发

方法二：js代码中

发现系统采用了jeecg-boot快速开发

方法三：批量搜索

Google Hacking，搜索{intext: Jeecg-Boot 后台服务API接口文档}

 访问

三、修复方法

首先需要升级依赖版本

我使用的是1.2.6，更多版本可以自己去 maven找

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空，则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时，deny优先于allow)
#        deny: 192.168.10.1

结果