OBS_015_NO_RAW_URLS_WITH_PII_IN_LOGS: Logs speichern keine rohen URLs mit PII
Severity: must. Bereich: observability-audit.
Regel
Access-, Application- und Audit-Logs DUERFEN keine rohen Request-URLs, Query-Strings oder Redirect-Ziele mit Email, Magic Code, Session-ID, Reset-Token oder anderen personenbezogenen Auth-Werten speichern. Query-Strings muessen vermieden, entfernt, maskiert oder gehasht werden, bevor sie persistent werden.
Reflection-Check
check:
reflect:
fields:
- raw_url_logged
- query_string_logged
- query_redaction_policy
- pii_detection
objects:
- log_event
- http_log_policyEvidence
- OWASP_LOGGING, OWASP Logging Cheat Sheet
- LOCAL_SECURITY, Lokale Security YAML Library