Reino: Environment
Esta sección incluye todo lo que está fuera del código fuente pero aun así es importante para la seguridad del producto que se está creando. Dado que todas las cuestiones incluidas en esta sección no están directamente relacionadas con el código fuente, las hemos separado de las demás secciones.
Struts Misconfiguration: Invalid Path
Abstract
Las entradas de ruta de acceso no válidas impiden que Struts localice el recurso correcto para las solicitudes de servicio.
Explanation
Struts usa el atributo
Ejemplo 1: La siguiente configuración contiene una ruta de acceso vacía.
path para localizar el recurso necesario para controlar una solicitud. Dado que la ruta de acceso es una ubicación relativa al módulo, es un error si no comienza con un carácter "/".Ejemplo 1: La siguiente configuración contiene una ruta de acceso vacía.
Ejemplo 2: La siguiente configuración utiliza una ruta de acceso que no empieza por un carácter "/".
<global-exceptions>
<exception key="global.error.invalidLogin" path="" scope="request" type="InvalidLoginException" />
</global-exceptions>
<global-forwards>
<forward name="login" path="Login.jsp" />
</global-forwards>
References
[1] Apache Struts Specification
[2] Chuck Caveness, Brian Keeton
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
desc.config.java.struts_misconfiguration_invalid_path