界: Environment

このセクションには、ソースコード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソースコードに直接関係しないため、この分野の他の部分と分けました。

Struts Misconfiguration: Invalid Path

Abstract

パスエントリが無効な場合、Struts はサービスリクエストに対して正しいリソースを見つけることができません。

Explanation

Struts は path 属性を使用して、リクエストの処理に必要なリソースを見つけます。パスはモジュールと関連する場所であるため、"/" 文字で始まらない場合はエラーになります。

例 1: 次の設定には、空のパスが含まれています。


<global-exceptions>
  <exception key="global.error.invalidLogin" path="" scope="request" type="InvalidLoginException" />
</global-exceptions>

例 2: 次の設定は、"/" 文字で始まらないパスを使用しています。


<global-forwards>
  <forward name="login" path="Login.jsp" />
</global-forwards>

References

[1] Apache Struts Specification

[2] Chuck Caveness, Brian Keeton

[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[5] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[6] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[7] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

desc.config.java.struts_misconfiguration_invalid_path