当前位置: 首页 > news >正文

H2 Database Console未授权访问漏洞封堵

news 2025/6/25 12:00:40

背景

H2 Database Console未授权访问,默认情况下自动创建不存在的数据库,从而导致未授权访问。各种未授权访问的教程,但是它怎么封堵呢?

-ifExists

很简单,启动参数添加 -ifExists ,它的含义:

[-ifExists] Only existing databases may be opened (all servers)

应用出厂时先创建好数据库文件后,修改启动脚本,添加该参数:

dir=$(dirname "$0")
nohup java -cp "$dir/h2-2.x.xx.jar:$H2DRIVERS:$CLASSPATH" org.h2.tools.Server -tcpAllowOthers -webAllowOthers -tcpPort -ifExists "$@" &

这样启动 h2 后首次访问时会因为 test 数据库不存在而无法连接:
在这里插入图片描述
只有输入正确的出厂数据库路径、帐号和密码,才能连接到操作页面。

其他尝试

还有一个 -webAdminPassord 参数,但是加上后一直报不支持的操作异常,最后只好作罢。

http://www.lryc.cn/news/392917.html

相关文章:

  • 基于java+springboot+vue实现的药店管理系统(文末源码+Lw)285
  • 网络爬虫基础
  • js数组方法归纳——push、pop、unshift、shift
  • VPN是什么?
  • 浅析DDoS高防数据中心网络
  • 《安全行业大模型技术应用态势发展报告(2024)》
  • 【基于R语言群体遗传学】-4-统计建模与算法(statistical tests and algorithm)
  • Java springboot校园管理系统源码
  • Lianwei 安全周报|2024.07.01
  • 柯桥职场英语学习商务英语口语生活英语培训生活口语学习
  • Spring与Quartz整合
  • C++之static关键字
  • 嵌入式学习——硬件(Linux内核驱动编程platform、内核定时器、DS18B20)——day61
  • js逆向抠js要点解析与案例分享
  • mac安装docker
  • PDF压缩工具选哪个?6款免费PDF压缩工具分享
  • Go语言--复合类型之指针与数组
  • docker 环境下failed to start lsb故障解决
  • Vue3学习(二)
  • 【C++】开源:地图投影和坐标转换proj库配置使用
  • WordPress主题大前端DUX v8.7源码下载
  • 【论文阅读】自动驾驶光流任务 DeFlow: Decoder of Scene Flow Network in Autonomous Driving
  • 调和均值
  • DP学习——模板模式
  • AOP在业务中的简单使用
  • C# 用户权限界面的测试内容
  • PyCharm
  • 【嵌入式开发 Linux 常用命令系列 1.5 -- grep 过滤特定类型文件】
  • 学习笔记——动态路由——OSPF(邻接/邻居)
  • k8s 答疑