설명#

민감한 정보 노출 검사입니다. 신용카드 번호, 의료 기록, 개인 정보 등이 포함됩니다.

해결 방법#

민감한 정보 유출은 애플리케이션이 사용자별 민감한 데이터를 노출하는 애플리케이션 취약점입니다. 민감한 데이터는 공격자가 사용자를 악용하는 데 사용될 수 있습니다. 따라서 민감한 데이터의 유출은 가능한 한 제한하거나 방지해야 합니다. 정보 유출은 가장 일반적인 형태로, 유효한 데이터와 유효하지 않은 데이터에 대한 페이지 응답의 차이로 인해 발생합니다.

데이터의 유효성에 따라 다른 응답을 제공하는 페이지는 정보 유출로 이어질 수 있습니다. 특히 기밀로 간주되는 데이터가 웹 애플리케이션의 설계 결과로 노출될 때 그러합니다. 민감한 데이터의 예시에는 다음이 포함되지만 이에 국한되지 않습니다: 계좌 번호, 사용자 식별자(운전면허 번호, 여권 번호, 주민등록번호 등), 사용자별 정보(비밀번호, 세션, 주소). 이 맥락에서의 정보 유출은 사용자에게도 일반 텍스트로 노출되어서는 안 되는 기밀 또는 비밀로 간주되는 핵심 사용자 데이터의 노출을 다룹니다. 신용카드 번호 및 기타 엄격하게 규제되는 정보는 이미 적절한 암호화 및 접근 제어가 적용되어 있는 경우에도 노출이나 유출로부터 추가적으로 보호해야 하는 사용자 데이터의 대표적인 예입니다.

링크#

• OWASP
• CWE