무단으로 개인 식별 정보(PII) 노출 (신용카드)
설명
대상 응용 프로그램에서 응답에 신용카드 정보를 반환하는 것으로 확인되었습니다. 이러한 정보를 반환하는 조직은 산업 규정을 위반할 수 있으며 벌금을 부과받을 수 있습니다.
수정
신용카드와 같은 PII는 사용자에게 직접 반환해서는 안 됩니다. 대부분의 정보는 마스킹되어야 하며 식별자의 마지막 몇 자 또는 문자를 제외하고 반환되어야 합니다. 예를 들어, 신용카드 번호는 마지막 네 자리만 반환되어야 합니다: ****-****-****-1234. 이 마스킹이 서버에서 수행되고 나서 마스킹된 데이터만 클라이언트로 다시 전송되어야 합니다. JavaScript나 다른 방법을 사용하여 값들을 마스킹하는 데 의존해서는 안 됩니다. 이는 데이터가 여전히 가로채히거나 미착취될 수 있기 때문입니다.
추가적으로, 신용카드 정보는 암호화되지 않은 채로 파일이나 데이터베이스에 저장해서는 안 됩니다.
Details
| ID | 집계 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 359.1 | true | 359 | 매뉴얼 | 중간 |
도움말