2018-03-18-OWASP TOP 10--敏感信息暴露

3.敏感信息泄漏

A:定义

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”所给出对应的安全防护方案。

B:常见敏感信息泄漏场景

1.URL未授权访问

2.越权查看漏洞（水平越权和垂直越权）

3.网页中的敏感信息被恶意爬取等

C:防范措施:

在处理返回用户信息时，进行信息最小化处理，避免返回功能不必要等敏感信息.