Struts: Plugin Framework Not In Use

Struts 유효성 검사기를 사용하여 확인되지 않은 입력으로 인한 취약점을 방지하십시오.

확인되지 않은 입력은 J2EE 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control, SQL Injection 등 수많은 취약점을 야기할 수 있습니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

이러한 공격을 방지하려면 Struts 유효성 검사기를 사용하여 응용 프로그램에서 처리하기 전에 모든 프로그램 입력을 확인하십시오. Fortify Static Code Analyzer를 사용하여 Struts 유효성 검사기 구성에 허점이 없는지 확인하십시오.

유효성 검사기 사용 예에는 다음을 확인하는 것이 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.

- 부울 값은 "T" 또는 "F"뿐입니다.

- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.