무단으로 민감한 개인 정보(PII) 노출 (신용 카드)
설명
대상 애플리케이션에서 응답으로 신용 카드 정보가 반환된 것으로 확인되었습니다. 이와 같은 정보를 반환하는 조직은 산업 규정을 위반할 수 있으며 벌금을 부과받을 수 있습니다.
개선
신용 카드와 같은 PII는 직접 사용자에게 반환해서는 안 됩니다. 대부분의 정보는 식별자의 마지막 몇 자리를 제외하고 마스킹되어야 합니다. 예를 들어, 신용 카드 번호는 마지막 네 자리만 반환되어야 합니다: ****-****-****-1234. 이 마스킹이 서버에서 수행되고, 그 후에 마스킹된 데이터가 클라이언트로 다시 전송되어야 합니다. 데이터가 여전히 가로채이거나 해독될 수 있으므로, 클라이언트 측 JavaScript나 다른 방법으로 이러한 값을 마스킹하는 데 의존해서는 안 됩니다.
또한, 신용 카드 정보는 암호화되지 않은 채로 파일이나 데이터베이스에 저장해서는 안 됩니다.
세부 정보
| ID | 집합 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 359.1 | true | 359 | 수동 | 중간 |
도움말