HKCert
保安博錄

提防網上應用程式編程漏洞 洩露個人資料

發布日期: 30 / 10 / 2018
最後更新: 31 / 10 / 2018
有報道指香港航空公司網頁出現漏洞,乘客的個人資料可透過更改網址的末端看到。這漏洞可被視為OWASP 十大網頁應用程式安全風險 2017中被界定的「無效的身份驗證」(A2) 「無效的存取控制」(A5) 風險。
 
香港電腦保安事故協調中心敦促網站管理員及網上應用程式開發員確保網上應用程式發布前採取足夠的保安預防措施,包括:
  • 使用身份驗證以確保網頁內容安全,特別是存有個人資料的部分,例如加入登入程序及多重身份驗證
  • 於系統發展生命周期 (SDLC) 內採取「安全架構及保障私隱由設計做起 (Security and Privacy by Design)」措施
  • 為應用程式進行程式碼掃描及定期為系統進行滲透測試和漏洞掃描
  • 持續監測應用程式流量及進行日誌分析
如想保護你的網頁應用程式,請參考我們的保安指南