Reino: Environment
Esta seção contém tudo o que fica fora do código-fonte, porém que é essencial para a segurança do produto que está sendo criado. Como os problemas tratados neste domínio não são diretamente relacionados com o código-fonte, nós o separamos dos demais domínios.
Struts Misconfiguration: Missing Action Input
Abstract
É um erro omitir o atributo
input para ações nomeadas do Struts que podem retornar erros de validação.Explanation
A especificação de struts exige um atributo
Exemplo 1: A configuração a seguir define uma ação de validação nomeada, mas não especifica um atributo
input sempre que uma ação nomeada retorna erros de validação [2]. O atributo input especifica a página usada para exibir mensagens de erro quando ocorrem erros de validação.Exemplo 1: A configuração a seguir define uma ação de validação nomeada, mas não especifica um atributo
input.
<action-mappings>
<action path="/Login"
type="com.LoginAction"
name="LoginForm"
scope="request"
validate="true" />
</action-mappings>
References
[1] Apache Struts Specification
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
desc.config.java.struts_misconfiguration_missing_action_input