cwe - 107: Struts:未使用的验证形式
描述
扩展描述
为开发人员很容易忘记更新时验证逻辑删除或重命名操作形式的映射。一个迹象表明验证逻辑没有被适当维护的存在一个未使用的验证形式。
的关系
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
自然
类型
ID
的名字
ChildOf
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 1164年
不相关的代码
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“七有害的王国”(cwe - 700)
自然
类型
ID
的名字
ChildOf
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 20.
不正确的输入验证
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
在下面的示例类RegistrationForm Struts ActionForm Bean框架,将从注册网页维护用户输入数据的在线业务的网站。用户将进入注册数据,通过Struts框架,RegistrationForm bean将维护用户数据的表单字段使用私有成员变量。RegistrationForm类使用Struts验证功能,扩展ValidatorForm类,包括验证表单字段验证器中的XML文件,validator.xml。
公共类RegistrationForm org.apache.struts.validator延伸。ValidatorForm {
/ /私有变量登记表
私人字符串名称;
私人字符串地址;
私人的字符串;
私人弦状态;
私人字符串zipcode;
/ /表单字段不再使用电话
/ /字符串私人电话;
私人字符串邮件;
公共RegistrationForm () {
超级();
}
/ /私有变量的getter和setter方法
…
}
<表单验证>
<形态层组>
<表单名称= " RegistrationForm " >
<字段属性=“name”取决于= "需要" >
<参数位置=“0”键= " prompt.name " / >
< /字段>
<字段属性=“地址”取决于= "需要" >
<参数位置=“0”键= " prompt.address " / >
< /字段>
<字段属性= "城市"取决于= "需要" >
<参数位置=“0”键= " prompt.city " / >
< /字段>
<字段属性=“状态”取决于= "要求,面具”>
<参数位置=“0”键= " prompt.state " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= " zipcode "取决于= "要求,面具”>
<参数位置=“0”键= " prompt.zipcode " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= "电话"取决于= "要求,面具”>
<参数位置=“0”键= " prompt.phone " / >
< var >
< var-name > < / var-name >面具
< / var >
< /字段>
<字段属性= "电子邮件"取决于= "要求,电子邮件" >
<参数位置=“0”键= " prompt.email " / >
< /字段>
> < /形式
< /形态层组>
< /表单验证>
然而,验证器XML文件,验证器。xml, for the RegistrationForm class includes the validation form for the user input form field "phone" that is no longer used by the input form and the RegistrationForm class. Any validation forms that are no longer required should be removed from the validator XML file, validator.xml.
未使用的形式可能是一个迹象的存在攻击者,这段代码是过时的或凋敝。
潜在的缓解措施
实施阶段:
删除未使用的验证表单的验证。xml文件。
弱点Ordinalities
Ordinality
描述
合成
(缺点是通常与其他弱点的存在)
分类法映射
映射分类名称
节点ID
适合
映射节点名
7有害的王国
Struts:未使用的验证形式
引用
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“七有害的王国”(cwe - 700)
