looks like you might want to code your own logic to scan for those manipulated URL params..like the URL which contains the dreaded /WEB-INF (and as dale suggested scan URLs to reference known .action)
Martin Gainty ______________________________________________ Verzicht und Vertraulichkeitanmerkung/Note de déni et de confidentialité Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger sein, so bitten wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung oder Fertigung einer Kopie ist unzulaessig. Diese Nachricht dient lediglich dem Austausch von Informationen und entfaltet keine rechtliche Bindungswirkung. Aufgrund der leichten Manipulierbarkeit von E-Mails koennen wir keine Haftung fuer den Inhalt uebernehmen. Ce message est confidentiel et peut être privilégié. Si vous n'êtes pas le destinataire prévu, nous te demandons avec bonté que pour satisfaire informez l'expéditeur. N'importe quelle diffusion non autorisée ou la copie de ceci est interdite. Ce message sert à l'information seulement et n'aura pas n'importe quel effet légalement obligatoire. Étant donné que les email peuvent facilement être sujets à la manipulation, nous ne pouvons accepter aucune responsabilité pour le contenu fourni. > Date: Sat, 8 Aug 2009 12:01:39 -0400 > From: d...@newfield.org > To: user@struts.apache.org > Subject: Re: Struts - Security > > Kamlesh Koringa wrote: > > - URL encryption (no one can modify generated URL). > > Impossible. You cannot prevent people from requesting URLs your system > does not present to them. You should assume that any parameter that you > accept from a user can be manipulated at will by that user. You can > jump through hoops to make valid alternate values difficult to guess, > but that's it. You should always check the inputs and make sure that > the requested action is a valid one for that user before allowing the > requested action to continue. > > > - URL authorization. > > "Spring Security" formerly known as acegi. > > -Dale > > --------------------------------------------------------------------- > To unsubscribe, e-mail: user-unsubscr...@struts.apache.org > For additional commands, e-mail: user-h...@struts.apache.org > _________________________________________________________________ Get your vacation photos on your phone! http://windowsliveformobile.com/en-us/photos/default.aspx?&OCID=0809TL-HM
