0

我有一个场景,信用卡号通过线路(HTTPS)从应用程序服务器发送到浏览器。因此,查看支付页面的源代码将显示整个信用卡号。

这真的是一个安全漏洞吗?由于数据是通过 SSL 发送的(登录后的整个流程是 https 并且有问题的页面是流程中的第 3 或第 4 个页面),中间人无法获取此信息。另外,我测试了会话端劫持(当用户在 http 上时获取会话 ID 并尝试模拟......) - 应用程序足够智能以防止这种攻击。

除了不通过电汇发送整个信用卡号之外,我还在考虑添加一个安全 cookie,但这是否有点矫枉过正?

4

1 回答 1

1

正确实施的 HTTPS(大多数浏览器都会这样做,请检查您的服务器),提供完整的端到端数据安全传输。中间攻击不会有人。

我们还假设您的网站免受跨站点脚本攻击。

不过,最好只显示最后四位数字。这适用于有人想在公共场所进行银行业务或购物或其他任何事情的情况。它可以防止那些窥探他们的人获得完整的帐号。

如果有人想输入一张新的信用卡(注意你的背),这仍然是一个问题,但是一旦你验证了它,就没有理由显示整个信用卡号。让客户命名帐户,以防万一他们有不止一张最后 4 位数字相同的卡,并且便于使用。

于 2013-10-18T16:04:44.140 回答