iT邦幫忙

2024 iThome 鐵人賽

DAY 29
0
Security

WEB仔也要懂資安嗎系列 第 29

29/Insertion of Sensitive Information Into Sent Data

  • 分享至 

  • xImage
  •  

CWE-201: Insertion of Sensitive Information Into Sent Data
指的是系統在傳輸資料過程之中將包含了對方不應取得的機敏資訊也放進資料中傳輸給了對方,這麼做可能導致資料被有心人士加以利用。

此外由於不能保證資料傳輸過程之中、或者資料到了接收方之後不會被外流,因此傳輸資料應盡量避免傳送機敏資訊,若因業務考量需要傳輸,也須以資料最小化為原則,並且一定要以https加密傳輸,也可雙方議定加解密方式後,對特定資料進行進一步加密。

常見的例子是將身分證或是使用者密碼等機敏資料以Http Get 參數的形式傳遞,由於訊息都被寫在url上,就算是用https連線也沒用,很容易就被人攔截。


上一篇
28/Security Logging and Monitoring Failures-Insufficient Logging
下一篇
30/Security Header
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言