CWE-201: Insertion of Sensitive Information Into Sent Data
指的是系統在傳輸資料過程之中將包含了對方不應取得的機敏資訊也放進資料中傳輸給了對方,這麼做可能導致資料被有心人士加以利用。
此外由於不能保證資料傳輸過程之中、或者資料到了接收方之後不會被外流,因此傳輸資料應盡量避免傳送機敏資訊,若因業務考量需要傳輸,也須以資料最小化為原則,並且一定要以https加密傳輸,也可雙方議定加解密方式後,對特定資料進行進一步加密。
常見的例子是將身分證或是使用者密碼等機敏資料以Http Get 參數的形式傳遞,由於訊息都被寫在url上,就算是用https連線也沒用,很容易就被人攔截。
iThome鐵人賽
看影片追技術