📄Работа №53339
Тема: БЕЗОПАСНОСТЬ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
Тип работы
Бакалаврская работа
Предмет
Информационная безопасность
Объем:
80 листов
Год:
2016
Просмотров:
720
4390
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение
ДБО И УЯЗВИМОСТИ ИНТЕРНЕТ-БАНКИНГА 5
1.1. Виды ДБО 5
1.2. Структура ДБО 7
1.3. Классификация уязвимостей в ДБО 9
1.4 Безопасность HTTP заголовков 17
1.5 Уязвимости SSL и TLS протоколов 20
1.6 Проверка доменов 25
1.7 Межсайтовый скриптинг 30
2. УЯЗВИМОСТЬ МОБИЛЬНОГО БАНКИНГА 34
2.1 Каналы мобильного банкинга 34
2.2 Оценка безопасности мобильных банковских приложений 35
2.3 Возможные атаки на клиентскую часть 36
2.4 Исследования безопасности приложений под iOS 38
2.5 Исследования безопасности приложений под Android 43
3. ПРАКТИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ УЯЗВИМОСТЕЙ 47
3.1 Построение модели ДБО на виртуальной машине 47
3.2 Отраженный XSS 48
3.3 Хранимый XSS 52
3.4 SQL-инъекция 55
3.5 Выполнение команд 56
3.6 Межсайтовая подделка запросов 60
3.7 Поиск уязвимостей в среде Android 61
4. НАСТРОЙКА СЕТЕВОГО ЭКРАНА 68
4.1 Сетевые настройки 69
4.2 Настройка межсетевого моста 70
4.3 Создание правил брандмауэра 73
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
ДБО И УЯЗВИМОСТИ ИНТЕРНЕТ-БАНКИНГА 5
1.1. Виды ДБО 5
1.2. Структура ДБО 7
1.3. Классификация уязвимостей в ДБО 9
1.4 Безопасность HTTP заголовков 17
1.5 Уязвимости SSL и TLS протоколов 20
1.6 Проверка доменов 25
1.7 Межсайтовый скриптинг 30
2. УЯЗВИМОСТЬ МОБИЛЬНОГО БАНКИНГА 34
2.1 Каналы мобильного банкинга 34
2.2 Оценка безопасности мобильных банковских приложений 35
2.3 Возможные атаки на клиентскую часть 36
2.4 Исследования безопасности приложений под iOS 38
2.5 Исследования безопасности приложений под Android 43
3. ПРАКТИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ УЯЗВИМОСТЕЙ 47
3.1 Построение модели ДБО на виртуальной машине 47
3.2 Отраженный XSS 48
3.3 Хранимый XSS 52
3.4 SQL-инъекция 55
3.5 Выполнение команд 56
3.6 Межсайтовая подделка запросов 60
3.7 Поиск уязвимостей в среде Android 61
4. НАСТРОЙКА СЕТЕВОГО ЭКРАНА 68
4.1 Сетевые настройки 69
4.2 Настройка межсетевого моста 70
4.3 Создание правил брандмауэра 73
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
📖 Введение
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом банку удаленным образом.
Интернет-банкинг становится все более популярным во всем мире, с каждым днем, количество операций совершаемых через интернет только растет, позволяя своим клиентам легко и удобно с помощью сети интернет управлять своими банковскими счетами из любой точки мира в любое время. Банки поддерживают эту тенденцию, т.к. задействовав интернет, они экономят свои ресурсы, например, такие как количество задействованного персонала, инвестиции в банкоматы, развитие региональной сети и другие эксплуатационные расходы. Тем не менее, поскольку интернет изначально не был разработан для интернет-банкинга, он сталкивается с широким спектром угроз в безопасности, как для банков, так и для конечных пользователей.
С развитием интернета увеличивается конкуренция в банковском обслуживании частных лиц, банки становятся еще более вовлеченными в высокотехнологичную область, делая упор на электронную коммерцию в предоставляемых услугах. Также повышаются требования клиентов, которые они предъявляют к банкам, такие показатели как удобство работы со счетами, быстрый доступ к банковским услугам и скорость их реализации требуют пристального внимания в конкурентной борьбе за потребителя. Именно в борьбе за клиента банки вводят новые функции и возможности в систему ДБО усложняя её, делая более динамичной. Но в погоне за конкурентом и новыми возможностями банки увеличивают риски нарушения безопасности и величину возможных финансовых потерь.
Одновременно с интернет-банкингом идет активное развитие мобильных технологий, которые расширяют возможности онлайн-банкинга делая его более мобильным, но и одновременно с этим открывают злоумышленникам новые возможности. Область приложений мобильного- банкинга несет немало потенциальных угроз, идущих от операционной системы, его окружения и самого пользователя.
Цель работы: Выявить и изучить основные угрозы и уязвимости дистанционного банковского обслуживания (ДБО), а также причины их возникновения.
Поставленная цель потребовала решения следующих задач:
1) проанализировать статистику по инцидентам нарушений контуров безопасности онлайн-банкинга;
2) провести подробную классификацию угроз ДБО;
3) разработать тестовый сайт онлайн-банкинга, на котором было бы возможно смоделировать и проанализировать уязвимости;
4) построить модель ДБО, включающую веб-сервер и сетевой экран, с целью практического ознакомления методами защиты веб-приложений и фильтрации трафика;
5) проанализировать возможности приложений по поиску уязвимостей в мобильных устройствах на основе ОС Android и iOS.
Интернет-банкинг становится все более популярным во всем мире, с каждым днем, количество операций совершаемых через интернет только растет, позволяя своим клиентам легко и удобно с помощью сети интернет управлять своими банковскими счетами из любой точки мира в любое время. Банки поддерживают эту тенденцию, т.к. задействовав интернет, они экономят свои ресурсы, например, такие как количество задействованного персонала, инвестиции в банкоматы, развитие региональной сети и другие эксплуатационные расходы. Тем не менее, поскольку интернет изначально не был разработан для интернет-банкинга, он сталкивается с широким спектром угроз в безопасности, как для банков, так и для конечных пользователей.
С развитием интернета увеличивается конкуренция в банковском обслуживании частных лиц, банки становятся еще более вовлеченными в высокотехнологичную область, делая упор на электронную коммерцию в предоставляемых услугах. Также повышаются требования клиентов, которые они предъявляют к банкам, такие показатели как удобство работы со счетами, быстрый доступ к банковским услугам и скорость их реализации требуют пристального внимания в конкурентной борьбе за потребителя. Именно в борьбе за клиента банки вводят новые функции и возможности в систему ДБО усложняя её, делая более динамичной. Но в погоне за конкурентом и новыми возможностями банки увеличивают риски нарушения безопасности и величину возможных финансовых потерь.
Одновременно с интернет-банкингом идет активное развитие мобильных технологий, которые расширяют возможности онлайн-банкинга делая его более мобильным, но и одновременно с этим открывают злоумышленникам новые возможности. Область приложений мобильного- банкинга несет немало потенциальных угроз, идущих от операционной системы, его окружения и самого пользователя.
Цель работы: Выявить и изучить основные угрозы и уязвимости дистанционного банковского обслуживания (ДБО), а также причины их возникновения.
Поставленная цель потребовала решения следующих задач:
1) проанализировать статистику по инцидентам нарушений контуров безопасности онлайн-банкинга;
2) провести подробную классификацию угроз ДБО;
3) разработать тестовый сайт онлайн-банкинга, на котором было бы возможно смоделировать и проанализировать уязвимости;
4) построить модель ДБО, включающую веб-сервер и сетевой экран, с целью практического ознакомления методами защиты веб-приложений и фильтрации трафика;
5) проанализировать возможности приложений по поиску уязвимостей в мобильных устройствах на основе ОС Android и iOS.
✅ Заключение
1. На основе анализа общедоступной статистики по инцидентам нарушений контуров безопасности онлайн-банкинга проведена подробная классификация основных уязвимостей дистанционного банковского обслуживания (ДБО). Наиболее значимыми уязвимостями являются:
1) межсайтовый скриптинг,
2) SQL-инъекции,
3) межсайтовая подделка запроса,
4) использование компонентов с известными уязвимостями,
5) недочеты системы аутентификации и хранения сессий,
6) неправильная настройка SSL сертификатов.
2. Построена сетевая модель взаимодействия клиента банка с системой ДБО на основе средства виртуализации VirtualBox. Модель включает виртуальные машины клиента (Windows 7) и сервера (Windows Server 2008 R2), защищаемого межсетевым экраном на базе специализированного дистрибутива ОС FreeBSD pfSense. Для настройки брандмауэра проанализирован трафик для каждого возможного клиента ДБО. Проведено подключение контентного фильтра SquidGuard, а также прокси сервера HAVP, осуществляющего фильтрацию вирусов.
3. Создана модель сайта онлайн-банкинга, имеющего стандартные формы аутентификации пользователей и средства управления учетными записями. Для реализации сайта установлен HTTP-сервер Apache 2.0 и СУБД MySQL. Показано применение методов выявления уязвимостей на примере угроз:
1) отраженный и хранимый XSS,
2) инъекция в базу данных MySQL,
3) выполнение неинициированных пользователем команд ОС,
4) межсайтовая подделка запросов.
4. Проведен анализ безопасности применения мобильных устройств на ОС iOS и Android в мобильном банкинге. В результате было выявлено:
1) безопасность приложения мобильного банка зависит от безопасности самой системы в которой оно используется;
2) большую угрозу несут приложения, имеющие доступ к SSL сертификатам;
3) привязка сессии к SIM карте производится лишь малым числом банков;
4) некоторые установленные приложения могут обращаться к незаявленным функциям системы для получения несанкционированного доступа к данным мобильного банкинга, например, получать доступ к выпискам или снимать информацию со скриншотов.
Для поиска уязвимостей в мобильных системах рекомендуется использовать специальные приложения, осуществляющие сканирование устройства на наличие уязвимостей, например Stagefright Detector, iScan Online, Bluebox Security Scanner или Recap.
1) межсайтовый скриптинг,
2) SQL-инъекции,
3) межсайтовая подделка запроса,
4) использование компонентов с известными уязвимостями,
5) недочеты системы аутентификации и хранения сессий,
6) неправильная настройка SSL сертификатов.
2. Построена сетевая модель взаимодействия клиента банка с системой ДБО на основе средства виртуализации VirtualBox. Модель включает виртуальные машины клиента (Windows 7) и сервера (Windows Server 2008 R2), защищаемого межсетевым экраном на базе специализированного дистрибутива ОС FreeBSD pfSense. Для настройки брандмауэра проанализирован трафик для каждого возможного клиента ДБО. Проведено подключение контентного фильтра SquidGuard, а также прокси сервера HAVP, осуществляющего фильтрацию вирусов.
3. Создана модель сайта онлайн-банкинга, имеющего стандартные формы аутентификации пользователей и средства управления учетными записями. Для реализации сайта установлен HTTP-сервер Apache 2.0 и СУБД MySQL. Показано применение методов выявления уязвимостей на примере угроз:
1) отраженный и хранимый XSS,
2) инъекция в базу данных MySQL,
3) выполнение неинициированных пользователем команд ОС,
4) межсайтовая подделка запросов.
4. Проведен анализ безопасности применения мобильных устройств на ОС iOS и Android в мобильном банкинге. В результате было выявлено:
1) безопасность приложения мобильного банка зависит от безопасности самой системы в которой оно используется;
2) большую угрозу несут приложения, имеющие доступ к SSL сертификатам;
3) привязка сессии к SIM карте производится лишь малым числом банков;
4) некоторые установленные приложения могут обращаться к незаявленным функциям системы для получения несанкционированного доступа к данным мобильного банкинга, например, получать доступ к выпискам или снимать информацию со скриншотов.
Для поиска уязвимостей в мобильных системах рекомендуется использовать специальные приложения, осуществляющие сканирование устройства на наличие уязвимостей, например Stagefright Detector, iScan Online, Bluebox Security Scanner или Recap.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.