15. 중요정보 노출

O 웹 어플리케이션의 소스 내에 계정정보 및 개인정보 등의 중요 정보가 암호화 및 마스킹 처리 등이 되지 않아 평문으로 노출되는 취약점


O 근거 자료

개인정보의 안전성 확보조치 기준 제12조(출력ㆍ복사시 안전조치)

OWASP TOP10 2021


O 판단 기준

양호
웹 페이지(소스 코드 포함) 내 개인정보 등 중요정보가 마스킹 되어 있는 경우
취약
웹 페이지 내 개인정보 등 중요정보가 마스킹 되어 있지 않고 평문으로 노출되어 있는 경우


O 점검 방법

- 웹 페이지 화면 또는 소스보기 기능을 이용하여 중요 정보 노출 여부 확인

- 프록시 툴을 통해 확인 시 마스킹 처리없이 중요정보가 노출되는 지 확인

- 와이어 샤크를 통해 중요정보가 평문으로 전송되고 있는 지 확인

- 회원 가입 및 본인 인증 완료 시 URL에 사용자 정보가 노출되는 지 확인

- 방문 기록에 사용자 정보가 노출되는 지 확인


O 조치 방법

- 사용자가 웹 페이지에서 조회 시 어플리케이션 화면 및 소스 내 중요 정보 (계정정보, 주민번호, 카드번호 등)가 노출되지 않도록 불필요한 정보 삭제 및 마스킹 처리

- 마스킹 처리 시 클라이언트 기반(JavaScript, VBScript 등)이 아닌 서버 기반(ASP, PHP, JSP 등)으로 처리하도록 구현