Hay uno o varios campos Acción que no tienen la definición de validación correspondiente. Cada campo debe tener una rutina de validación explícita referenciada en ActionClass-validation.xml.

Los desarrolladores olvidan con facilidad actualizar la lógica de validación cuando eliminan o cambian el nombre de las asignaciones del formulario de validación. La ausencia de una definición de validador indica que la lógica de validación no se está manteniendo adecuadamente.

Es de una importancia esencial que la lógica de validación esté siempre actualizada y sincronizada con el resto de la aplicación. No comprobar las entradas es la causa raíz de algunos de los peores problemas de seguridad de software más comunes actualmente. Los ataques de script de sitios, los ataques por SQL Injection y las vulnerabilidades detectadas en el control de los procesos, todos tienen su origen en la validación incompleta o inexistente de entradas. Si bien las aplicaciones J2EE no suelen ser vulnerables a los ataques dirigidos a dañar la memoria, si una aplicación J2EE entra en contacto con código nativo que no comprueba los límites de matriz, un atacante puede ser capaz de aprovechar el error de validación de una entrada en la aplicación J2EE para lanzar un ataque de buffer overflow.

Existe más de una definición de validador de campo con el mismo nombre en ActionClass-validation.xml. Las definiciones de validación duplicadas con el mismo nombre pueden provocar un comportamiento inesperado.

Ejemplo 1: La siguiente entrada muestra dos definiciones de validador de campo duplicadas.

   <field name="emailField">
      <field-validator type="email" short-circuit="true">
          <message>You must enter a value for email.</message>
      </field-validator>
      <field-validator type="email" short-circuit="true">
          <message>Not a valid email.</message>
      </field-validator>
  </field>
  

Es de vital importancia que la lógica de validación se mantenga y se mantenga sincronizada con el resto de la aplicación. La entrada sin marcar es la causa principal de algunos de los problemas de seguridad de software peores y más comunes de la actualidad. Los ataques Cross-Site Scripting, SQL Injection y las vulnerabilidades detectadas en el control de los procesos tienen todos su origen en la validación incorrecta o inexistente de entradas. Aunque las aplicaciones J2EE no suelen ser susceptibles a ataques de corrupción de memoria, si una aplicación J2EE interactúa con código nativo que no comprueba límites de matriz, un atacante puede usar un error de validación de entrada en la aplicación J2EE para lanzar un ataque de desbordamiento de búfer.

Se ha detectado más de un archivo ActionClass-validation.xml file para esta definición de acción de Struts2. Para cada acción de Struts2 definida en el formulario de ActionClass, Struts2 busca un archivo ActionClass-validation.xml correspondiente para las restricciones de validación necesarias. Tener varias definiciones de validación para una acción incluida en la implementación podría dar lugar a un comportamiento inesperado.

Si existen dos formularios de validación con el mismo nombre, el validador Struts selecciona uno de los formularios de forma arbitraria y lo utiliza para la validación de entrada, descartando el otro. Es posible que esta elección no se corresponda con las expectativas del programador. Además, es indicativo de que no se realiza un correcto mantenimiento de la lógica de validación y, por tanto, de que puede haber otros errores de validación más imperceptibles.

Es de una importancia esencial que la lógica de validación esté siempre actualizada y sincronizada con el resto de la aplicación. No comprobar las entradas es la causa raíz de algunos de los peores problemas de seguridad de software más comunes actualmente. Los ataques de script de sitios, los ataques por SQL Injection y las vulnerabilidades detectadas en el control de los procesos, todos tienen su origen en la validación incompleta o inexistente de entradas. Si bien las aplicaciones J2EE no suelen ser vulnerables a los ataques dirigidos a dañar la memoria, si una aplicación J2EE entra en contacto con código nativo que no comprueba los límites de matriz, un atacante puede ser capaz de aprovechar el error de validación de una entrada en la aplicación J2EE para lanzar un ataque de buffer overflow.

Se detectó más de una definición de validador en validators.xml. Varias definiciones de validación con el mismo nombre pueden provocar un comportamiento inesperado.

Si se definen dos clases de validación con el mismo nombre, el validador Struts elige arbitrariamente una de las formas para usarla para la validación de entrada y descarta la otra. Es posible que esta decisión no se corresponda con las expectativas del programador. Además, indica que la lógica de validación no se mantiene y puede indicar que existen otros errores de validación más sutiles.

Es de vital importancia que la lógica de validación se mantenga y se mantenga sincronizada con el resto de la aplicación. La entrada sin marcar es la causa principal de algunos de los problemas de seguridad de software peores y más comunes de la actualidad. Los ataques Cross-Site Scripting, SQL Injection y las vulnerabilidades detectadas en el control de los procesos tienen todos su origen en la validación incorrecta o inexistente de entradas. Aunque las aplicaciones J2EE no suelen ser susceptibles a ataques de corrupción de memoria, si una aplicación J2EE interactúa con código nativo que no comprueba límites de matriz, un atacante puede usar un error de validación de entrada en la aplicación J2EE para lanzar un ataque de desbordamiento de búfer.

Struts2 requiere que se definan validadores personalizados en validators.xml antes de usarse en una definición de validador de acción. La falta de definiciones de validador es señal de que la validación no está actualizada.

Ejemplo 1: El siguiente validador de acción no se definió en validators.xml.

<validators>
    <validator name="required" class="com.opensymphony.xwork2.validator.validators.RequiredFieldValidator"/>
</validators>

Es de vital importancia que la lógica de validación se mantenga y se mantenga sincronizada con el resto de la aplicación. La entrada sin marcar es la causa principal de algunos de los problemas de seguridad de software peores y más comunes de la actualidad. Los ataques Cross-Site Scripting, SQL Injection y las vulnerabilidades detectadas en el control de los procesos tienen todos su origen en la validación incorrecta o inexistente de entradas. Aunque las aplicaciones J2EE no suelen ser susceptibles a ataques de corrupción de memoria, si una aplicación J2EE interactúa con código nativo que no comprueba límites de matriz, un atacante puede usar un error de validación de entrada en la aplicación J2EE para lanzar un ataque de desbordamiento de búfer.

Las entradas no comprobadas son la causa principal de vulnerabilidades en aplicaciones J2EE. Las entradas no comprobadas pueden provocar gran cantidad de vulnerabilidades, como Cross-Site Scripting, Process Control y SQL Injection. Si bien las aplicaciones J2EE no suelen ser vulnerables a los ataques dirigidos a dañar la memoria, si una aplicación J2EE entra en contacto con código nativo que no comprueba los límites de matriz, un atacante puede aprovechar un error de validación de entrada en la aplicación J2EE para lanzar un ataque de buffer overflow.

Para impedir dichos ataques, use el marco de validación de Struts para comprobar toda la entrada de programa antes que la aplicación la procese. Utilice Fortify Static Code Analyzer para asegurarse de que no existen agujeros en la configuración del validador Struts.

Entre los ejemplos de uso del validador se incluye la comprobación para asegurarse de que:

- Los campos de números de teléfono contienen solo caracteres válidos de números de teléfono.

- Los valores booleanos son solo "T" o "F".

- Las cadenas de formato libre son de una longitud y composición razonables.

Se detectó un archivo de validación de Struts2 sin una acción de Struts2 coincidente. Para cada ActionClass, Struts2 busca un archivo de validación ActionClass-validation.xml correspondiente para las restricciones de validación necesarias. En este caso, se encontró un archivo de validación con el formato ActionClass-validation.xml, pero ActionClass no coincide con una acción definida en el archivo de configuración de Struts2.

Es fácil para los desarrolladores olvidarse de actualizar la lógica de validación cuando eliminan o cambian el nombre de las asignaciones de formularios de acción. Una indicación de que la lógica de validación no se mantiene correctamente es la presencia de un formulario de validación no utilizado.

Una definición de validador Struts2 hace referencia a un campo de acción que no existe.

Es fácil para los desarrolladores olvidarse de actualizar la lógica de validación cuando eliminan o cambian el nombre de las asignaciones de formularios de acción. Una indicación de que la lógica de validación no se mantiene correctamente es la presencia de una definición de validador huérfana.

Los nombres de form-bean duplicados no sirven para nada, ya que solo se registrará la última entrada cuando se utilice el mismo nombre en varias etiquetas <form-bean>.

Ejemplo 1: La siguiente configuración tiene dos entradas de form-bean con el mismo nombre.

<form-beans>
  <form-bean name="loginForm" type="org.apache.struts.validator.DynaValidatorForm">
    <form-property name="name" type="java.lang.String" />
    <form-property name="password" type="java.lang.String" />
  </form-bean>
  <form-bean name="loginForm" type="org.apache.struts.validator.DynaActionForm">
    <form-property name="favoriteColor" type="java.lang.String" />
  </form-bean>
</form-beans>

Struts usa el atributo path para localizar el recurso necesario para controlar una solicitud. Dado que la ruta de acceso es una ubicación relativa al módulo, es un error si no comienza con un carácter "/".

Ejemplo 1: La siguiente configuración contiene una ruta de acceso vacía.

<global-exceptions>
  <exception key="global.error.invalidLogin" path="" scope="request" type="InvalidLoginException" />
</global-exceptions>

Ejemplo 2: La siguiente configuración utiliza una ruta de acceso que no empieza por un carácter "/".

<global-forwards>
  <forward name="login" path="Login.jsp" />
</global-forwards>

La especificación de Struts requiere un atributo input siempre que una acción con nombre devuelva errores de validación [2]. El atributo input especifica la página utilizada para mostrar mensajes de error cuando ocurren errores de validación.
Ejemplo 1: La siguiente configuración define una acción de validación con nombre, pero no especifica un atributo input.

<action-mappings>
  <action   path="/Login"
            type="com.LoginAction"
            name="LoginForm"
            scope="request"
            validate="true" />
</action-mappings>

La etiqueta <exception> requiere que se defina un tipo de excepción. La ausencia de un atributo type o que esté vacío indica un controlador de excepciones superfluo o una omisión accidental. Si un desarrollador tenía la intención de controlar una excepción, pero olvidó definir el tipo de excepción, entonces la aplicación podría filtrar información confidencial sobre el sistema.
Ejemplo 1: La siguiente configuración omite el tipo de la etiqueta <exception>.

  <global-exceptions>
    <exception
      key="error.key"
      handler="com.mybank.ExceptionHandler"/>
  </global-exceptions>

Struts usa entradas de form-bean para asignar formularios HTML a acciones. Si el atributo name de una etiqueta <action> no se corresponde con el nombre de un elemento form-bean, la acción no se puede asignar e indica una definición superflua o un error tipográfico.

Ejemplo 1: La siguiente configuración no contiene una asignación para bean2.

<form-beans>
  <form-bean name="bean1" type="coreservlets.UserFormBean" />
</form-beans>

<action-mappings>
  <action path="/actions/register1" type="coreservlets.RegisterAction1" name="bean1" scope="request" />
  <action path="/actions/register2" type="coreservlets.RegisterAction2" name="bean2" scope="request" />
</action-mappings>

Struts usa el nombre form-bean para asignar formularios HTML a acciones. Si un elemento form-bean no tiene un nombre, no se puede asignar a una acción e indica una definición superflua o un archivo Bean omitido por accidente.
Este es un ejemplo de un elemento form-bean apropiado:
Ejemplo 1: El siguiente elemento form-bean tiene un atributo name vacío.

<form-beans>
  <form-bean name="" type="org.apache.struts.validator.DynaValidatorForm">
    <form-property name="name" type="java.lang.String" />
    <form-property name="password" type="java.lang.String" />
  </form-bean>
</form-beans>

Struts usa entradas de form-bean para asignar formularios HTML a acciones. Si un elemento form-bean no tiene un tipo, no se puede asignar a una acción.
Ejemplo 1: El siguiente elemento form-bean tiene un atributo type vacío.

<form-beans>
  <form-bean name="loginForm" type="">
    <form-property name="name" type="java.lang.String" />
    <form-property name="password" type="java.lang.String" />
  </form-bean>
</form-beans>

Struts exige que las etiquetas <form-property> incluyan un atributo type. Struts lanzará una excepción al procesar un formulario que define un elemento form-property sin tipo.

Ejemplo 1: La siguiente configuración omite un tipo para la propiedad name.

<form-bean name="loginForm" type="org.apache.struts.validator.DynaValidatorForm">
  <form-property name="name" />
  <form-property name="password" type="java.lang.String" />
</form-bean>

Una etiqueta <forward> debe tener los atributos name y path. Sin un nombre, el elemento forward nunca se utilizará.

Ejemplo 1: La siguiente etiqueta <forward> tiene un atributo name vacío.

    <forward name="" path="/results.jsp"/>

Una etiqueta <forward> debe tener los atributos name y path. Es un error omitir una ruta de acceso o especificar una en blanco. Además, todas las rutas de acceso deben comenzar con el carácter "/".

Ejemplo 1: La siguiente etiqueta <forward> no tiene un atributo path.

    <forward name="success" />

Si dos formularios de validación tienen el mismo nombre, el validador Struts elige arbitrariamente uno de los formularios para usarlo para la validación de entrada y descarta el otro. Es posible que esta decisión no se corresponda con las expectativas del programador. Además, indica que la lógica de validación no se mantiene y puede indicar que existen otros errores de validación más sutiles.

Ejemplo 1: Dos formularios de validación con el mismo nombre.

<form-validation>
    <formset>
        <form name="ProjectForm">
        ...
        </form>
        <form name="ProjectForm">
        ...
        </form>
    </formset>
</form-validation>

Es de vital importancia que la lógica de validación se mantenga y se mantenga sincronizada con el resto de la aplicación. La entrada sin marcar es la causa principal de algunos de los problemas de seguridad de software peores y más comunes de la actualidad. Los ataques Cross-Site Scripting, SQL Injection y las vulnerabilidades detectadas en el control de los procesos tienen todos su origen en la validación incorrecta o inexistente de entradas. Aunque las aplicaciones J2EE no suelen ser susceptibles a ataques de corrupción de memoria, si una aplicación J2EE interactúa con código nativo que no comprueba límites de matriz, un atacante puede usar un error de validación de entrada en la aplicación J2EE para lanzar un ataque de desbordamiento de búfer.

El Validador Struts usa un método validate() de formulario para contrastar el contenido de las propiedades del formulario con las restricciones especificadas en el formulario de validación asociado. Esto significa que las clases siguientes tienen un método validate() que forma parte del marco de validación:

    ValidatorForm
    ValidatorActionForm
    DynaValidatorForm
    DynaValidatorActionForm

Si crea una clase que extiende una de estas clases y si su clase implementa lógica de validación personalizada reemplazando el método validate(), debe llamar super.validate() en su implementación de validate(). De no ser así, el marco de validación no podrá contrastar el contenido del formulario con un formulario de validación. Es decir, el marco de validación se deshabilitará para el formulario en cuestión.

Deshabilitar el marco de validación para un formulario expone a la aplicación a numerosos tipos de ataque. Las entradas no comprobadas son la causa principal de vulnerabilidades en secuencias entre sitios, control de procesos e inserción de SQL. Si bien las aplicaciones J2EE no suelen ser vulnerables a los ataques dirigidos a dañar la memoria, si una aplicación J2EE entra en contacto con código nativo que no comprueba los límites de matriz, un atacante puede ser capaz de aprovechar el error de validación de una entrada en la aplicación J2EE para lanzar un ataque de buffer overflow.