界: Environment

このセクションには、ソースコード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソースコードに直接関係しないため、この分野の他の部分と分けました。

J2EE Misconfiguration: Excessive Servlet Mappings

Java/JSP

Abstract

複数の URL パターンが単一のサーブレットにマップされています。これは通常、アーキテクチャに不備があるか、標準化されていないことが原因です。

Explanation

単一のサーブレットにマップされている複数の URL パターンは、サーブレットが実行する機能が多すぎることを示している場合があります。

例 1: 次の例では、5 つの URL パターンが 1 つのサーブレットにマップされています。


<servlet>
    <servlet-class>com.class.MyServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/myservlet</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/helloworld*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/servlet*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/mservlet*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/*</url-pattern>
</servlet-mapping>

References

[1] Sun Microsystems, Inc. Java Servlet Specification 2.4

[2] Standards Mapping - Common Weakness Enumeration CWE ID 684

[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[4] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[5] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[6] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

desc.config.java.j2ee_misconfiguration_excessive_servlet_mappings