我有一种情况,信用卡号码通过网络(HTTPS)从应用服务器发送到浏览器。因此,执行支付页面的查看源将显示整个信用卡号。
这真的是一个安全漏洞吗?由于数据是通过SSL发送的(登录后的整个流程是https,并且有问题的页面是流程中的第3或第4个),因此中间人无法获取此信息。此外,我测试了会话端顶起(当用户使用http并尝试模拟时获取会话ID) - 应用程序足够智能以防止此攻击。
除了不通过电汇发送整个信用卡号外,我还在想添加一个安全的cookie,但这是否有点过分?
答案 0 :(得分:1)
HTTPS,正确实施(大多数浏览器都可以,check your server),提供完整的端到端安全数据传输。中间的攻击不会有人。
我们还假设您的网站免受跨站点脚本攻击。
尽管如此,最好只显示最后四位数字。这适用于某些人想要从公共场所进行银行业务或购物或其他任何事情。它可以防止那些窥探肩膀的人获取整个帐号。
如果有人想要输入新的信用卡(观看您的信用卡),这仍然是一个问题,但是一旦您验证了它,就没有理由显示整个信用卡号码。让客户为帐户命名,以防他们拥有多张相同的最后4位数的卡,以及易于使用。