在我的 ASP 网页中,我正在显示 SSN 号码
" 名称 ="txtSSNID" 大小 ="20">
Fortify Developer 工具将此检测为错误。我该如何解决这个问题。
我需要显示 SSN 编号,但问题是在 Fortify 开发人员工具中测试安全违规时不应捕获它
问问题
461 次
2 回答
1
我不确定你到底想要什么?但是像信用卡号码一样,你不能只显示几个“X”和最后几个字母吗?
于 2009-03-26T05:25:01.910 回答
1
迈克尔,
有几种方法可以处理这个问题:
与您的产品经理交谈并安排 PCI 合规性例外,或获得他的批准以将输出掩码应用于此数据。就像将 123-11-1234 替换为 12X-XX-XXXX 进行显示一样。
如果您确实需要显示该值,请使用 SSL 并在显示 SSN 之前再次请求用户的登录凭据。
如果您确实需要让 Fortify 停止显示错误,您可以单击 Fortify Audit Workbench 中的红色 X 来抑制发现。为此,您需要获得安全审计员的批准。
于 2010-07-22T23:12:36.137 回答