描述
产品有一个表单字段,不验证相应的验证形式,可以介绍相关弱点输入验证不足。
扩展描述
省略验证甚至一个单一的输入字段可能给攻击者他们需要妥协的余地产品。尽管J2EE应用程序通常不容易记忆腐败的攻击,如果一个J2EE应用程序接口与本地代码不执行数组边界检查,攻击者可以在J2EE应用程序中使用一个输入验证错误推出一个缓冲区溢出攻击。
的关系
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
自然
类型
ID
的名字
ChildOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 1173年
验证框架的使用不当
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“七有害的王国”(cwe - 700)
自然
类型
ID
的名字
ChildOf
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 20.
不正确的输入验证
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
阶段
请注意
实现
一些产品使用相同的ActionForm不止一个目的。在这种情况下,某些领域可能会未使用在某些动作映射。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围
影响
可能性
完整性
完整性
如果未使用字段不验证,共享业务逻辑的行动可能允许攻击者绕过验证检查执行表单的其他用途。
示范例子
示例1
下面的示例Java类RegistrationForm是Struts框架的ActionForm Bean将从注册网页维护用户输入数据的在线业务的网站。用户将进入注册数据,通过Struts框架,RegistrationForm bean将维护用户数据的表单字段使用私有成员变量。RegistrationForm类使用Struts验证功能,扩展ValidatorForm类,包括验证表单字段验证器中的XML文件,validator.xml。
公共类RegistrationForm org.apache.struts.validator延伸。ValidatorForm {
/ /私有变量登记表
私人字符串名称;
私人字符串地址;
私人的字符串;
私人弦状态;
私人字符串zipcode;
私人字符串电话;
私人字符串邮件;
公共RegistrationForm () {
超级();
}
/ /私有变量的getter和setter方法
…
}
验证器的XML文件,验证器。xml, provides the validation for the form fields of the RegistrationForm.
<表单验证>
<形态层组>
<表单名称= " RegistrationForm " >
<字段属性=“name”取决于= "需要" >
<参数位置=“0”键= " prompt.name " / >
< /字段>
<字段属性=“地址”取决于= "需要" >
<参数位置=“0”键= " prompt.address " / >
< /字段>
<字段属性= "城市"取决于= "需要" >
<参数位置=“0”键= " prompt.city " / >
< /字段>
<字段属性=“状态”取决于= "要求,面具”>
<参数位置=“0”键= " prompt.state " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= " zipcode "取决于= "要求,面具”>
<参数位置=“0”键= " prompt.zipcode " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
> < /形式
< /形态层组>
< /表单验证>
然而,在前面的例子验证器XML文件,验证器。xml, does not provide validators for all of the form fields in the RegistrationForm. Validator forms are only provided for the first five of the seven form fields. The validator XML file should contain validator forms for all of the form fields for a Struts ActionForm bean. The following validator.xml file for the RegistrationForm class contains validator forms for all of the form fields.
<表单验证>
<形态层组>
<表单名称= " RegistrationForm " >
<字段属性=“name”取决于= "需要" >
<参数位置=“0”键= " prompt.name " / >
< /字段>
<字段属性=“地址”取决于= "需要" >
<参数位置=“0”键= " prompt.address " / >
< /字段>
<字段属性= "城市"取决于= "需要" >
<参数位置=“0”键= " prompt.city " / >
< /字段>
<字段属性=“状态”取决于= "要求,面具”>
<参数位置=“0”键= " prompt.state " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= " zipcode "取决于= "要求,面具”>
<参数位置=“0”键= " prompt.zipcode " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= "电话"取决于= "要求,面具”>
<参数位置=“0”键= " prompt.phone " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= "电子邮件"取决于= "要求,电子邮件" >
<参数位置=“0”键= " prompt.email " / >
< /字段>
> < /形式
< /形态层组>
< /表单验证>
潜在的缓解措施
实施阶段:
验证表单字段。如果未使用一个字段,它仍然是重要的限制是空的或未定义的。
弱点Ordinalities
Ordinality
描述
主
(其他弱点的弱点存在独立的)
分类法映射
映射分类名称
节点ID
适合
映射节点名
7有害的王国
Struts:表单字段验证器
软件故障模式
SFP24
污染输入命令
引用
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“七有害的王国”(cwe - 700)
