界: Environment
本節包括原始程式碼之外的所有內容,但對於建立中產品的安全性仍至關重要。由於此領域所涵蓋的問題與原始程式碼沒有直接關係,因此我們將其與其他領域分開。
J2EE Misconfiguration: Duplicate Servlet Mapping
Abstract
相同的 URL 模式存在有多個 Servlet 對應。相同的 Servlet 對應通常表示沒有被除錯的程式碼或拼字錯誤。
Explanation
相同的 Servlet 對應是沒有意義的,因為在多個 Servlet 對應中使用相同 URL 模式時,只會套用最後一個項目。
範例 1:在以下範例中,兩個不同的 Servlet 對應中使用 URL 模式
範例 1:在以下範例中,兩個不同的 Servlet 對應中使用 URL 模式
/servletA/*。
<servlet-mapping>
<servlet-name>ServletA</servlet-name>
<url-pattern>/servletA/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>ServletB</servlet-name>
<url-pattern>/servletA/*</url-pattern>
</servlet-mapping>
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 684
[2] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[3] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[4] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[5] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[6] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.j2ee_misconfiguration_duplicate_servlet_mapping