무권한 행위자에 대한 개인 식별 정보(PII) 노출 (신용카드)

DAST 브라우저 검사 359.1 — 응답에서 신용카드 정보가 노출되는 경우에 대한 설명 및 해결 방법.

설명 # 대상 애플리케이션이 응답에서 신용카드 정보를 반환하는 것이 발견되었습니다. 이러한 정보를 반환하는 것이 확인된 조직은 업계 규정을 위반하고 있을 수 있으며 벌금을 부과받을 수 있습니다. 해결 방법 # 신용카드와 같은 개인 식별 정보(PII)는 사용자에게 직접 반환되어서는 안 됩니다. 대부분의 정보는 식별자의 마지막 몇 자리 또는 문자를 제외하고 마스킹되어야 합니다. 예를 들어, 신용카드 번호는 마지막 네 자리만 반환되어야 합니다: ****-****-****-1234 . 이 마스킹은 서버에서 수행한 후에만 마스킹된 데이터를 클라이언트로 전송해야 합니다. 클라이언트 측 JavaScript나 기타 방법에 의존하여 이 값들을 마스킹하지 마십시오. 데이터가 여전히 가로채지거나 마스킹이 해제될 수 있습니다. 또한 신용카드 정보는 파일이나 데이터베이스에 암호화되지 않은 상태로 저장되어서는 안 됩니다. 세부 정보 # ID Aggregated CWE 유형 위험도 359.1 true 359