1
기본 동작은 아래에서 struts.xml에 정의되어 있습니다. Fortify scan은 ""과 일치하는 "*"에 대해 불평합니다. Struts 2 액션 이름에서 와일드 카드 (*)를 사용하면 공격자가 Session과 같은 시스템 변수를 수정하거나 서버에서 임의의 명령을 실행할 수있는 OGNL 표현식으로 액션 이름을 평가할 수 있습니다.Struts 액션 이름 와일드 카드 일치가 강화 스캔에서 OGNL 보안 취약점이 있습니다.
<action name="*" class="XXXX.XXXXX.XXXX.GenericAction">
<result>{1}.jsp</result>
<interceptor-ref name="defaultStacki18n" />
</action>
이 문제를 해결하는 방법?
hmmm. 고마워요 많이 – user3378930
하지만 여전히 "화이트리스트를 수정하십시오"부분에 대해 혼란 스러워요 - ----- ----- {1} <인터셉터-REF .jsp를 NAME ="defaultStacki18n "/> –
user3378930