응용 프로그램 서버에서 브라우저로 신용 카드 번호를 유선 (HTTPS)으로 보내는 시나리오가 있습니다. 따라서 지불 페이지의 뷰 소스를 수행하면 전체 신용 카드 번호가 표시됩니다.Https를 통한 신용 카드 번호
정말 보안 취약점입니까? 데이터가 SSL을 통해 전송되기 때문에 (로그인 후 전체 흐름은 https이고 문제의 페이지는 흐름의 3 번째 또는 4 번째) 중간에있는 사람이이 정보를 얻을 수있는 방법이 없습니다. 또한 세션 사이드 잭 (사용자가 http에있을 때 세션 ID를 얻고 가장을 시도하면 ...)에 대해 테스트했습니다. 응용 프로그램이이 공격을 막을만큼 지능적입니다.
나는 전체 신용 카드 번호를 전신 송부하지 않는 것 이외에 안전한 쿠키를 추가하는 방안에서 생각하고 있었지만 과잉이라고 할 수 있습니까?
'보안'쿠키는 특히 안전하지 않습니다. 대부분의 사이트는 카드 번호의 마지막 4 자리 숫자 만 보냅니다. 그게 뭐가 잘못 됐니? –
일부 추가 암호화를 사용할 수도 있습니다. http://security.stackexchange.com에서 사용해보십시오. –