Https를 통한 신용 카드 번호

Question

응용 프로그램 서버에서 브라우저로 신용 카드 번호를 유선 (HTTPS)으로 보내는 시나리오가 있습니다. 따라서 지불 페이지의 뷰 소스를 수행하면 전체 신용 카드 번호가 표시됩니다.

정말 보안 취약점입니까? 데이터가 SSL을 통해 전송되기 때문에 (로그인 후 전체 흐름은 https이고 문제의 페이지는 흐름의 3 번째 또는 4 번째) 중간에있는 사람이이 정보를 얻을 수있는 방법이 없습니다. 또한 세션 사이드 잭 (사용자가 http에있을 때 세션 ID를 얻고 가장을 시도하면 ...)에 대해 테스트했습니다. 응용 프로그램이이 공격을 막을만큼 지능적입니다.

나는 전체 신용 카드 번호를 전신 송부하지 않는 것 이외에 안전한 쿠키를 추가하는 방안에서 생각하고 있었지만 과잉이라고 할 수 있습니까?

Answer 1

제대로 구현 된 HTTPS (대부분의 브라우저는 check your server)는 데이터의 완벽한 종단 간 보안 전달을 제공합니다. 중간 공격에는 아무도 없을 것입니다.

또한 웹 사이트가 교차 사이트 스크립팅 공격으로부터 안전하다고 가정합니다.

그래도 마지막 4 자리 숫자 만 표시하는 것이 가장 좋습니다. 이것은 은행이나 쇼핑을하고 싶어하는 사람이나 공공 장소에서 온 사람과 같은 경우를위한 것입니다. 어깨 너머로 스누핑하는 사람들이 전체 계좌 번호를 알아 내지 못하게합니다.

누군가가 새로운 신용 카드 (다시보기)를 입력하고 싶다면 여전히 문제가 있지만, 확인 후에는 전체 신용 카드 번호를 표시 할 이유가 거의 없습니다. 마지막 네 자리 숫자가 동일한 카드가 두 개인 경우와 사용 편의성을 고려하여 고객에게 계정 이름을 지정하십시오.