Reino: Environment
Esta sección incluye todo lo que está fuera del código fuente pero aun así es importante para la seguridad del producto que se está creando. Dado que todas las cuestiones incluidas en esta sección no están directamente relacionadas con el código fuente, las hemos separado de las demás secciones.
Struts Misconfiguration: Missing Action Input
Abstract
Es un error omitir el atributo
input en acciones de Struts con nombre que pueden devolver errores de validación.Explanation
La especificación de Struts requiere un atributo
Ejemplo 1: La siguiente configuración define una acción de validación con nombre, pero no especifica un atributo
input siempre que una acción con nombre devuelva errores de validación [2]. El atributo input especifica la página utilizada para mostrar mensajes de error cuando ocurren errores de validación.Ejemplo 1: La siguiente configuración define una acción de validación con nombre, pero no especifica un atributo
input.
<action-mappings>
<action path="/Login"
type="com.LoginAction"
name="LoginForm"
scope="request"
validate="true" />
</action-mappings>
References
[1] Apache Struts Specification
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
desc.config.java.struts_misconfiguration_missing_action_input