2018-03-18-OWASP TOP 10--敏感信息暴露

3.敏感信息泄漏

A:定义

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出对应的安全防护方案。

B:常见敏感信息泄漏场景

1.URL未授权访问

2.越权查看漏洞(水平越权和垂直越权)

3.网页中的敏感信息被恶意爬取等

C:防范措施:

在处理返回用户信息时,进行信息最小化处理,避免返回功能不必要等敏感信息.

你可能感兴趣的:(2018-03-18-OWASP TOP 10--敏感信息暴露)