APIキーやトークンをクエリパラメータ(?api_key=...)で受け付けると、URL経由でアクセスログ・リバースプロキシ・ブラウザ履歴・Refererヘッダに残り漏洩する(CWE-598)。特にWebフレームワークのアクセスログはパス+クエリ文字列ごと記録するものが多い(例: ginのデフォルトロガーはRequestURIを出力)。

対策: 認証情報は専用ヘッダ(例 X-API-Key)やAuthorizationヘッダのみで受け付け、クエリパラメータのフォールバックは設けない。同様にDB接続文字列など資格情報を含む値を平文でログ出力しない(CWE-532。ホスト名のみマスキングして出す等)。