界: Environment
このセクションには、ソース コード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソース コードに直接関係しないため、この分野の他の部分と分けました。
Struts Misconfiguration: Missing Form Bean Name
Abstract
name 属性なしの form-bean は使用されません。Explanation
Struts は、
以下は適切な form-bean の例です。
例 1: 次の
form-bean の名前を使用して HTML フォームをアクションにマップします。form-bean に名前がないとアクションにマップできず、不適切な定義または誤って省略された Bean のいずれかを示します。以下は適切な form-bean の例です。
例 1: 次の
form-bean には空の name 属性があります。
<form-beans>
<form-bean name="" type="org.apache.struts.validator.DynaValidatorForm">
<form-property name="name" type="java.lang.String" />
<form-property name="password" type="java.lang.String" />
</form-bean>
</form-beans>
References
[1] Apache Struts 1.3 Specification
[2] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[3] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[4] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[5] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
desc.config.java.struts_misconfiguration_missing_form_bean_name