我有一种情况,信用卡号码是通过有线(HTTPS)从应用程序服务器发送到浏览器的。因此,查看付款页面的查看源将显示整个信用卡号码。通过https的信用卡号码
这真的是一个安全漏洞吗?由于数据是通过SSL发送的(整个流程在登录后是https并且所涉及的页面是流程中的第3或第4个页面),中间的人无法获取此信息。此外,我测试了会话端顶起(当用户使用http并尝试模拟时获取会话ID) - 应用程序足够智能以防止此攻击。
我在考虑添加一个安全的cookie,除了不通过电报发送整个信用卡号码,但是这是一个矫枉过正的?
'安全'饼干不是特别安全。大多数网站只发送卡号的最后四位数字。那有什么问题? – 2013-10-18 14:39:01
你也可以使用一些额外的加密。尝试在http://security.stackexchange.com –