Help us learn about your current experience with the documentation. Take the survey.
向未授权方泄露私人个人信息(PII)(信用卡)
描述
目标应用被发现会在响应中返回信用卡信息。被发现返回此类信息的组织可能违反行业法规,并可能面临罚款。
修复建议
信用卡等 PII 信息绝不应直接返回给用户。除标识符的最后几位数字或字符外,大部分信息应进行遮蔽。例如,信用卡号应只返回最后四位数字:****-****-****-1234。确保此遮蔽操作在服务器端完成,然后将遮蔽后的数据发送回客户端。不要依赖客户端 JavaScript 或其他方法来遮蔽这些值,因为数据仍可能被拦截或取消遮蔽。
此外,信用卡信息绝不应以未加密的形式存储在文件或数据库中。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 359.1 | true | 359 | 被动 | 中等 |