界: Environment
本节包括的所有内容均与源代码无关,但对所创建产品的安全性仍然至关重要。因为本节涉及的问题与源代码没有直接关系,所以我们将它与其他章节分开。
Struts Misconfiguration: Missing Form Bean Name
Abstract
不使用不含
name 属性的 form-bean。Explanation
Struts 使用
以下是一个适当的 form-bean 示例:
示例 1:以下
form-bean 名称将 HTML 表单映射到操作。如果 form-bean 无名称,则无法映射到操作,同时表示存在多余的定义或意外省略 Bean。以下是一个适当的 form-bean 示例:
示例 1:以下
form-bean 包含空 name 属性。
<form-beans>
<form-bean name="" type="org.apache.struts.validator.DynaValidatorForm">
<form-property name="name" type="java.lang.String" />
<form-property name="password" type="java.lang.String" />
</form-bean>
</form-beans>
References
[1] Apache Struts 1.3 Specification
[2] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[3] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[4] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[5] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
desc.config.java.struts_misconfiguration_missing_form_bean_name