0

クレジット カード番号がネットワーク (HTTPS) 経由でアプリケーション サーバーからブラウザーに送信されるシナリオがあります。したがって、支払いページのソースを表示すると、クレジット カード番号全体が表示されます。

これは本当にセキュリティ上の脆弱性ですか? データは SSL 経由で送信されるため (ログイン後のフロー全体が https で、問題のページはフローの 3 番目または 4 番目のページです)、中間者がこの情報を取得する方法はありません。また、セッション側のジャッキング (ユーザーが http を使用しているときにセッション ID を取得し、なりすましを試みる...) についてもテストしました。このアプリケーションは、この攻撃を防ぐのに十分なほどインテリジェントです。

クレジットカード番号全体をネットワーク経由で送信しないことに加えて、安全なCookieを追加するという行で考えていましたが、それはやり過ぎですか?

4

1 に答える 1

1

適切に実装された HTTPS (ほとんどのブラウザはそうです。サーバーを確認してください) は、データの完全なエンドツーエンドの安全な配信を提供します。中間者攻撃はありません。

また、お客様の Web サイトはクロス サイト スクリプティング攻撃から安全であると想定しています。

それでも、最後の 4 桁だけを表示するのが最善です。これは、公共の場所から銀行取引や買い物などをしたい人などの場合です。肩越しに詮索する人が口座番号全体を取得するのを防ぎます.

誰かが新しいクレジット カードを入力したい場合はまだ問題ですが (後ろに気をつけてください)、一度確認したクレジット カード番号全体を表示する理由はほとんどありません。ただし、使いやすいように、下 4 桁が同じカードが複数ある場合に備えて、お客様にアカウントの名前を付けてもらいます。

于 2013-10-18T16:04:44.140 に答える