cwe - 106: Struts:不使用的插件框架
 描述
当应用程序不使用一个输入验证框架如Struts验证器,有一个更大的引入缺陷的风险相关的输入验证不足。
扩展描述
不受控制的输入是J2EE应用程序漏洞的主要原因。不输入导致跨站脚本、过程控制和SQL注入漏洞。
尽管J2EE应用程序通常不容易记忆腐败的攻击,如果一个J2EE应用程序接口与本地代码不执行数组边界检查,攻击者可以在J2EE应用程序中使用一个输入验证错误推出一个缓冲区溢出攻击。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
1173年 |
验证框架的使用不当 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 相关观点“七有害的王国”(cwe - 700)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
20. |
不正确的输入验证 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
在以下Java类RegistrationForm例子是Struts ActionForm Bean框架,将从注册网页维护用户输入数据的在线业务的网站。用户将进入注册数据,通过Struts框架,RegistrationForm bean将维护用户数据。
公共类RegistrationForm org.apache.struts.action延伸。ActionForm {
/ /私有变量登记表
私人字符串名称; 私人字符串邮件; …
公共RegistrationForm () {
超级(); }
/ /私有变量的getter和setter方法
…
}
然而,RegistrationForm类扩展Struts ActionForm类并使用Struts验证器插件提供验证器功能。在接下来的例子中,RegistrationForm Java类扩展了ValidatorForm和Struts配置XML文件,struts-config。xml,指示应用程序使用Struts验证器插件。
公共类RegistrationForm org.apache.struts.validator延伸。ValidatorForm {
/ /私有变量登记表
私人字符串名称; 私人字符串邮件; …
公共RegistrationForm () {
超级(); }
公共ActionErrors验证(ActionMapping映射,HttpServletRequest请求){…}
/ /私有变量的getter和setter方法
…
}
Struts配置XML文件的插件标签包括使用验证器插件的名称,包括集属性标签指示应用程序使用文件,validator-rules。xml,默认的验证规则和文件,验证。XML,用于自定义验证。
< struts-config >
< form-beans >
<表单bean name = " RegistrationForm " type = " RegistrationForm " / > < / form-beans >
…
< !——= = = = = = = = = = = = = = = = = = = = = = = = =验证器插件= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = - - > <插件类名= " org.apache.struts.validator.ValidatorPlugIn " >
<集属性
属性= "路径名"
value = " / web - inf / validator-rules.xml / web - inf / validation.xml " / >
< /插件>
< / struts-config >
潜在的缓解措施
阶段:体系结构和设计
使用Struts框架(如输入验证。 |
阶段:体系结构和设计
使用Struts框架(如输入验证。 |
实施阶段:
使用Struts验证器验证所有程序输入前处理的应用程序。确保没有洞的配置Struts验证器。示例使用验证器包括检查以确保:
-
电话号码在电话号码字段只包含有效的字符
-
布尔值只是“T”或“F”
-
自由格式的字符串长度合理和组成
|
实施阶段:
使用Struts验证器验证所有程序输入前处理的应用程序。确保没有洞的配置Struts验证器。示例使用验证器包括检查以确保:
-
电话号码在电话号码字段只包含有效的字符
-
布尔值只是“T”或“F”
-
自由格式的字符串长度合理和组成
|
弱点Ordinalities
| Ordinality |
描述 |
|
主 |
(其他弱点的弱点存在独立的) |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 7有害的王国 |
|
|
Struts:不使用的插件框架 |
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“七有害的王国”(cwe - 700)
