H2 Database Console未授权访问 H2 database是一款java内存数据库,多用于单元测试。H2 database自带一个web管理页面,在Spring开发中,如果我们设置如下选项,即可允许外部用户访问WEB管理页面,且没有鉴权; spring.h2.console.enabled=truespring.h2.console.settings.web-allow-others=true 利用这个管理页面,我们可以进行JN...
H2 Console 是H2数据库的网页版管理界面,提供简单、直观的操作界面,允许用户方便地进行数据库管理和SQL执行,极大地提升了开发和测试的效率。 2.1.2 访问与界面 配置并启用后,用户可通过http://localhost:8080/h2-console访问。其界面整洁,功能明确,使用户能够快速上手。第一次访问会进入如下界面: 2.2 使用H2 Conso...
H2 Console 是H2数据库的网页版管理界面,提供简单、直观的操作界面,允许用户方便地进行数据库管理和SQL执行,极大地提升了开发和测试的效率。 2.1.2 访问与界面 配置并启用后,用户可通过http://localhost:8080/h2-console访问。其界面整洁,功能明确,使用户能够快速上手。第一次访问会进入如下界面: 2.2 使用H2 Conso...
2.1.210 之前的H2控制台允许远程攻击者通过包含子字符串的jdbc:h2:mem JDBC URL执行任意代码。 影响范围 Spring Boot + H2 spring.h2.console.enabled=true JDK < 6u201、7u191、8u182、11.0.1(LDAP) 默认端口 20051端口 漏洞利用 环境启动后访问得到如下界面 未授权进入: 将如下命令放入JDBC URL即可直接进入...
因此存在差异。修复此问题的一个方法是对H2控制台使用AntPathRequestMatcher,如下所示: