クレジットカード番号の漏洩

medium Web App Scanning プラグイン ID 98129

概要

クレジットカード番号の漏洩

説明

クレジットカード番号は、ユーザーが商品やサービスを購入できるアプリケーションで使用されます。

クレジットカード番号は機密情報であり、そのように処理する必要があります。サイバー犯罪者は、さまざまな方法を使用してクレジットカード情報に不正にアクセスしようとします。クレジットカード情報は、不正な目的に使用される可能性があります。

正規表現の使用と、既知の発行者番号および luhn チェック検証を使用した CC 番号フォーマット検証により、スキャナーは影響を受けるページ内にあるクレジットカード番号を検出することができました。

ソリューション

正規表現が実際のクレジットカードとは関係なく類似の番号で一致した可能性があるため、最初に、応答内のクレジットカード番号をチェックしてその有効性を確認する必要があります。
応答に有効なクレジットカード番号が含まれている場合は、この情報を削除またはさらに保護するためにあらゆる努力を払う必要があります。これは、クレジットカード番号を完全に削除するか、応答内に最後の数桁のみが存在するように番号をマスクすることで達成できます (例: _ ********** 123_)。
さらに、クレジットカード番号は、組織がペイメントカード産業データセキュリティ基準 (PCI DSS) で概説されている他のセキュリティコントロールにも準拠していない限り、アプリケーションによって保存されるべきではありません。

参考資料

http://en.wikipedia.org/wiki/Bank_card_number

http://en.wikipedia.org/wiki/Luhn_algorithm

https://gist.github.com/1182499

プラグインの詳細

深刻度: Medium

ID: 98129

タイプ: remote

ファミリー: Data Exposure

公開日: 2017/3/31

更新日: 2023/12/1

スキャン テンプレート: api, basic, full, overview, pci, scan

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Medium

基本値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS スコアのソース: Tenable

参照情報