미인가 행위자에 대한 개인 식별 정보(PII) 노출 (미국 사회보장번호)

대상 애플리케이션이 응답에 사회보장번호(SSN) 정보를 반환하는 경우 감지하는 DAST 검사 항목입니다.

설명 # 대상 애플리케이션이 응답에 사회보장번호(SSN) 정보를 반환하는 것이 발견되었습니다. 이러한 정보를 반환하는 것으로 확인된 조직은 (미국) 주법 또는 연방법을 위반할 수 있으며, 엄중한 처벌을 받을 수 있습니다. 해결 방법 # 사회보장번호와 같은 개인 식별 정보(PII)는 절대 사용자에게 직접 반환해서는 안 됩니다. 식별자의 마지막 몇 자리 또는 문자를 제외한 대부분의 정보는 마스킹 처리해야 합니다. 예를 들어, 사회보장번호는 마지막 네 자리만 표시되어야 합니다: ***-**-1234 . 이 마스킹은 서버에서 수행한 후, 마스킹된 데이터만 클라이언트로 전송해야 합니다. 데이터가 여전히 가로채이거나 마스킹이 해제될 수 있으므로, 클라이언트 측 JavaScript나 기타 방법에 의존하여 이러한 값을 마스킹하지 마십시오. 또한, 사회보장번호는 파일이나 데이터베이스에 암호화되지 않은 상태로 저장해서는 안 됩니다. 세부 정보 # ID 집계 CWE 유형 위험도 359.2 true 35