БЕЗОПАСНОСТЬ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
|
Введение
ДБО И УЯЗВИМОСТИ ИНТЕРНЕТ-БАНКИНГА 5
1.1. Виды ДБО 5
1.2. Структура ДБО 7
1.3. Классификация уязвимостей в ДБО 9
1.4 Безопасность HTTP заголовков 17
1.5 Уязвимости SSL и TLS протоколов 20
1.6 Проверка доменов 25
1.7 Межсайтовый скриптинг 30
2. УЯЗВИМОСТЬ МОБИЛЬНОГО БАНКИНГА 34
2.1 Каналы мобильного банкинга 34
2.2 Оценка безопасности мобильных банковских приложений 35
2.3 Возможные атаки на клиентскую часть 36
2.4 Исследования безопасности приложений под iOS 38
2.5 Исследования безопасности приложений под Android 43
3. ПРАКТИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ УЯЗВИМОСТЕЙ 47
3.1 Построение модели ДБО на виртуальной машине 47
3.2 Отраженный XSS 48
3.3 Хранимый XSS 52
3.4 SQL-инъекция 55
3.5 Выполнение команд 56
3.6 Межсайтовая подделка запросов 60
3.7 Поиск уязвимостей в среде Android 61
4. НАСТРОЙКА СЕТЕВОГО ЭКРАНА 68
4.1 Сетевые настройки 69
4.2 Настройка межсетевого моста 70
4.3 Создание правил брандмауэра 73
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
ДБО И УЯЗВИМОСТИ ИНТЕРНЕТ-БАНКИНГА 5
1.1. Виды ДБО 5
1.2. Структура ДБО 7
1.3. Классификация уязвимостей в ДБО 9
1.4 Безопасность HTTP заголовков 17
1.5 Уязвимости SSL и TLS протоколов 20
1.6 Проверка доменов 25
1.7 Межсайтовый скриптинг 30
2. УЯЗВИМОСТЬ МОБИЛЬНОГО БАНКИНГА 34
2.1 Каналы мобильного банкинга 34
2.2 Оценка безопасности мобильных банковских приложений 35
2.3 Возможные атаки на клиентскую часть 36
2.4 Исследования безопасности приложений под iOS 38
2.5 Исследования безопасности приложений под Android 43
3. ПРАКТИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ УЯЗВИМОСТЕЙ 47
3.1 Построение модели ДБО на виртуальной машине 47
3.2 Отраженный XSS 48
3.3 Хранимый XSS 52
3.4 SQL-инъекция 55
3.5 Выполнение команд 56
3.6 Межсайтовая подделка запросов 60
3.7 Поиск уязвимостей в среде Android 61
4. НАСТРОЙКА СЕТЕВОГО ЭКРАНА 68
4.1 Сетевые настройки 69
4.2 Настройка межсетевого моста 70
4.3 Создание правил брандмауэра 73
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом банку удаленным образом.
Интернет-банкинг становится все более популярным во всем мире, с каждым днем, количество операций совершаемых через интернет только растет, позволяя своим клиентам легко и удобно с помощью сети интернет управлять своими банковскими счетами из любой точки мира в любое время. Банки поддерживают эту тенденцию, т.к. задействовав интернет, они экономят свои ресурсы, например, такие как количество задействованного персонала, инвестиции в банкоматы, развитие региональной сети и другие эксплуатационные расходы. Тем не менее, поскольку интернет изначально не был разработан для интернет-банкинга, он сталкивается с широким спектром угроз в безопасности, как для банков, так и для конечных пользователей.
С развитием интернета увеличивается конкуренция в банковском обслуживании частных лиц, банки становятся еще более вовлеченными в высокотехнологичную область, делая упор на электронную коммерцию в предоставляемых услугах. Также повышаются требования клиентов, которые они предъявляют к банкам, такие показатели как удобство работы со счетами, быстрый доступ к банковским услугам и скорость их реализации требуют пристального внимания в конкурентной борьбе за потребителя. Именно в борьбе за клиента банки вводят новые функции и возможности в систему ДБО усложняя её, делая более динамичной. Но в погоне за конкурентом и новыми возможностями банки увеличивают риски нарушения безопасности и величину возможных финансовых потерь.
Одновременно с интернет-банкингом идет активное развитие мобильных технологий, которые расширяют возможности онлайн-банкинга делая его более мобильным, но и одновременно с этим открывают злоумышленникам новые возможности. Область приложений мобильного- банкинга несет немало потенциальных угроз, идущих от операционной системы, его окружения и самого пользователя.
Цель работы: Выявить и изучить основные угрозы и уязвимости дистанционного банковского обслуживания (ДБО), а также причины их возникновения.
Поставленная цель потребовала решения следующих задач:
1) проанализировать статистику по инцидентам нарушений контуров безопасности онлайн-банкинга;
2) провести подробную классификацию угроз ДБО;
3) разработать тестовый сайт онлайн-банкинга, на котором было бы возможно смоделировать и проанализировать уязвимости;
4) построить модель ДБО, включающую веб-сервер и сетевой экран, с целью практического ознакомления методами защиты веб-приложений и фильтрации трафика;
5) проанализировать возможности приложений по поиску уязвимостей в мобильных устройствах на основе ОС Android и iOS.
Интернет-банкинг становится все более популярным во всем мире, с каждым днем, количество операций совершаемых через интернет только растет, позволяя своим клиентам легко и удобно с помощью сети интернет управлять своими банковскими счетами из любой точки мира в любое время. Банки поддерживают эту тенденцию, т.к. задействовав интернет, они экономят свои ресурсы, например, такие как количество задействованного персонала, инвестиции в банкоматы, развитие региональной сети и другие эксплуатационные расходы. Тем не менее, поскольку интернет изначально не был разработан для интернет-банкинга, он сталкивается с широким спектром угроз в безопасности, как для банков, так и для конечных пользователей.
С развитием интернета увеличивается конкуренция в банковском обслуживании частных лиц, банки становятся еще более вовлеченными в высокотехнологичную область, делая упор на электронную коммерцию в предоставляемых услугах. Также повышаются требования клиентов, которые они предъявляют к банкам, такие показатели как удобство работы со счетами, быстрый доступ к банковским услугам и скорость их реализации требуют пристального внимания в конкурентной борьбе за потребителя. Именно в борьбе за клиента банки вводят новые функции и возможности в систему ДБО усложняя её, делая более динамичной. Но в погоне за конкурентом и новыми возможностями банки увеличивают риски нарушения безопасности и величину возможных финансовых потерь.
Одновременно с интернет-банкингом идет активное развитие мобильных технологий, которые расширяют возможности онлайн-банкинга делая его более мобильным, но и одновременно с этим открывают злоумышленникам новые возможности. Область приложений мобильного- банкинга несет немало потенциальных угроз, идущих от операционной системы, его окружения и самого пользователя.
Цель работы: Выявить и изучить основные угрозы и уязвимости дистанционного банковского обслуживания (ДБО), а также причины их возникновения.
Поставленная цель потребовала решения следующих задач:
1) проанализировать статистику по инцидентам нарушений контуров безопасности онлайн-банкинга;
2) провести подробную классификацию угроз ДБО;
3) разработать тестовый сайт онлайн-банкинга, на котором было бы возможно смоделировать и проанализировать уязвимости;
4) построить модель ДБО, включающую веб-сервер и сетевой экран, с целью практического ознакомления методами защиты веб-приложений и фильтрации трафика;
5) проанализировать возможности приложений по поиску уязвимостей в мобильных устройствах на основе ОС Android и iOS.
Возникли сложности?
Нужна помощь преподавателя?
Помощь студентам в написании работ!
1. На основе анализа общедоступной статистики по инцидентам нарушений контуров безопасности онлайн-банкинга проведена подробная классификация основных уязвимостей дистанционного банковского обслуживания (ДБО). Наиболее значимыми уязвимостями являются:
1) межсайтовый скриптинг,
2) SQL-инъекции,
3) межсайтовая подделка запроса,
4) использование компонентов с известными уязвимостями,
5) недочеты системы аутентификации и хранения сессий,
6) неправильная настройка SSL сертификатов.
2. Построена сетевая модель взаимодействия клиента банка с системой ДБО на основе средства виртуализации VirtualBox. Модель включает виртуальные машины клиента (Windows 7) и сервера (Windows Server 2008 R2), защищаемого межсетевым экраном на базе специализированного дистрибутива ОС FreeBSD pfSense. Для настройки брандмауэра проанализирован трафик для каждого возможного клиента ДБО. Проведено подключение контентного фильтра SquidGuard, а также прокси сервера HAVP, осуществляющего фильтрацию вирусов.
3. Создана модель сайта онлайн-банкинга, имеющего стандартные формы аутентификации пользователей и средства управления учетными записями. Для реализации сайта установлен HTTP-сервер Apache 2.0 и СУБД MySQL. Показано применение методов выявления уязвимостей на примере угроз:
1) отраженный и хранимый XSS,
2) инъекция в базу данных MySQL,
3) выполнение неинициированных пользователем команд ОС,
4) межсайтовая подделка запросов.
4. Проведен анализ безопасности применения мобильных устройств на ОС iOS и Android в мобильном банкинге. В результате было выявлено:
1) безопасность приложения мобильного банка зависит от безопасности самой системы в которой оно используется;
2) большую угрозу несут приложения, имеющие доступ к SSL сертификатам;
3) привязка сессии к SIM карте производится лишь малым числом банков;
4) некоторые установленные приложения могут обращаться к незаявленным функциям системы для получения несанкционированного доступа к данным мобильного банкинга, например, получать доступ к выпискам или снимать информацию со скриншотов.
Для поиска уязвимостей в мобильных системах рекомендуется использовать специальные приложения, осуществляющие сканирование устройства на наличие уязвимостей, например Stagefright Detector, iScan Online, Bluebox Security Scanner или Recap.
1) межсайтовый скриптинг,
2) SQL-инъекции,
3) межсайтовая подделка запроса,
4) использование компонентов с известными уязвимостями,
5) недочеты системы аутентификации и хранения сессий,
6) неправильная настройка SSL сертификатов.
2. Построена сетевая модель взаимодействия клиента банка с системой ДБО на основе средства виртуализации VirtualBox. Модель включает виртуальные машины клиента (Windows 7) и сервера (Windows Server 2008 R2), защищаемого межсетевым экраном на базе специализированного дистрибутива ОС FreeBSD pfSense. Для настройки брандмауэра проанализирован трафик для каждого возможного клиента ДБО. Проведено подключение контентного фильтра SquidGuard, а также прокси сервера HAVP, осуществляющего фильтрацию вирусов.
3. Создана модель сайта онлайн-банкинга, имеющего стандартные формы аутентификации пользователей и средства управления учетными записями. Для реализации сайта установлен HTTP-сервер Apache 2.0 и СУБД MySQL. Показано применение методов выявления уязвимостей на примере угроз:
1) отраженный и хранимый XSS,
2) инъекция в базу данных MySQL,
3) выполнение неинициированных пользователем команд ОС,
4) межсайтовая подделка запросов.
4. Проведен анализ безопасности применения мобильных устройств на ОС iOS и Android в мобильном банкинге. В результате было выявлено:
1) безопасность приложения мобильного банка зависит от безопасности самой системы в которой оно используется;
2) большую угрозу несут приложения, имеющие доступ к SSL сертификатам;
3) привязка сессии к SIM карте производится лишь малым числом банков;
4) некоторые установленные приложения могут обращаться к незаявленным функциям системы для получения несанкционированного доступа к данным мобильного банкинга, например, получать доступ к выпискам или снимать информацию со скриншотов.
Для поиска уязвимостей в мобильных системах рекомендуется использовать специальные приложения, осуществляющие сканирование устройства на наличие уязвимостей, например Stagefright Detector, iScan Online, Bluebox Security Scanner или Recap.
1. Обзор о несанкционированных денежных переводах. Центробанк [Электронный ресурс]. 2015 год. URL: http://www.cbr.ru/psystem/P- sys/survey_2015.pdf (Обращение 15.04.2016)
2. Система "ДБО BS-Client". Росэнергобанк [Электронный ресурс]. 2012 год. URL:
https://www.rosenergobank.ru/upload/files/corporate/remote_services/bank_ customer/instr_bkb.pdf (Обращение 13.05.2016)
3. Бреева А. Вебинар «Уязвимости веб-приложений и систем ДБО в 2013 и 2014 годах». - 2015. URL:
https://www.youtube.com/watch?v=N6J8m0ovxH8 (Обращение
28.05.2016)
4. Top Ten 2013 Project. OWASP [Электронный ресурс]. 2016. URL: https: //www.owasp .org/index.php/T op 10#OWASP_T op_10_for_2013
5. Атака Clickjacking и защита от неё. Современный учебник JavaScript [Электронный ресурс]. 2015. URL:
https://learn.javascript.ru/clickjacking (Обращение 30.05.2016)
6. «Content Security Policy — опасная политика». Журнал «Хакер» [Электронный ресурс]. 23.12.2013. URL: https://xakep.ru/2013/12/23/61798/ (Обращение 28.05.2016)
7. Vulnerability Summary for CVE-2015-0204. NIST [Электронный ресурс]. 02.04.2015. URL: https: //web.nvd.nist. gov/view/vuln/detail?vulnId=CVE- 2015-0204 (Обращение 28.05.2016)
8. . Cross-site scripting. Википедия [Электронный ресурс]. 2016. URL: https://en.wikipedia.org/wiki/Cross-site_scripting (Обращение 28.05.2016)
9. Cross-site Scripting (XSS). OWASP [Электронный ресурс]. 2016. URL: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) (Обращение
28.05.2016)
10. Турбанов А., Тютюнник А. Банковское дело: Операции, технологии, управление/ А.Л. Турбанов, А.В. Тютюнник— М.: Издательский центр «Альпина Паблишер», 2009. — 682 с.
11. Margaret Rouse. Fuzz testing (fuzzing) [Электронный ресурс]. 2016.
URL:
http://searchsecurity.techtarget.com/definition/fuzz-testing (Обращение
28.05.2016)
12. Knowledge@Wharton/Ernst and Young, 2013. Mobile Banking: Financial Services Meet the Electronic Wallet, University of Pennsylvania [Электронный ресурс]. 2013. URL: http://kw.wharton.upenn.edu/ey- global-banking/mobile-banking/ (Обращение 28.05.2016)
13. Разработка защищенных банковских приложений: главные проблемы и как их избежать. Positive Technologies [Электронный ресурс] 2014. URL: https://habrahabr.ru/company/pt/blog/271287/
14. Тюрин А. АБС под прицелом [Электронный ресурс] 2015. URL: http://www.abajour.ru/files/62_227.pdf (Обращение 28.05.2016)
15. Ravinder K.S. Online Banking Security Flaws: A Study [Электронный ресурс] 08.08.2013. URL:
http://www. ij arcsse. com/docs/papers/Volume_3/8_August2013/V3I2- 0257.pdf (Обращение 28.05.2016)
16. Ducklin P. Just how secure is that mobile banking app? [Электронный ресурс] 10.01.2014. URL:
https: //nakedsecurity. sophos.com/2014/01/10/just-how-secure-is-that- mobile-banking-app/ (Обращение 28.05.2016)
17. DiffServ Code Point. Википедия [Электронный ресурс] 2016. https://ru.wikipedia.org/wiki/DiffServ_Code_Point (Обращение
28.05.2016)
2. Система "ДБО BS-Client". Росэнергобанк [Электронный ресурс]. 2012 год. URL:
https://www.rosenergobank.ru/upload/files/corporate/remote_services/bank_ customer/instr_bkb.pdf (Обращение 13.05.2016)
3. Бреева А. Вебинар «Уязвимости веб-приложений и систем ДБО в 2013 и 2014 годах». - 2015. URL:
https://www.youtube.com/watch?v=N6J8m0ovxH8 (Обращение
28.05.2016)
4. Top Ten 2013 Project. OWASP [Электронный ресурс]. 2016. URL: https: //www.owasp .org/index.php/T op 10#OWASP_T op_10_for_2013
5. Атака Clickjacking и защита от неё. Современный учебник JavaScript [Электронный ресурс]. 2015. URL:
https://learn.javascript.ru/clickjacking (Обращение 30.05.2016)
6. «Content Security Policy — опасная политика». Журнал «Хакер» [Электронный ресурс]. 23.12.2013. URL: https://xakep.ru/2013/12/23/61798/ (Обращение 28.05.2016)
7. Vulnerability Summary for CVE-2015-0204. NIST [Электронный ресурс]. 02.04.2015. URL: https: //web.nvd.nist. gov/view/vuln/detail?vulnId=CVE- 2015-0204 (Обращение 28.05.2016)
8. . Cross-site scripting. Википедия [Электронный ресурс]. 2016. URL: https://en.wikipedia.org/wiki/Cross-site_scripting (Обращение 28.05.2016)
9. Cross-site Scripting (XSS). OWASP [Электронный ресурс]. 2016. URL: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) (Обращение
28.05.2016)
10. Турбанов А., Тютюнник А. Банковское дело: Операции, технологии, управление/ А.Л. Турбанов, А.В. Тютюнник— М.: Издательский центр «Альпина Паблишер», 2009. — 682 с.
11. Margaret Rouse. Fuzz testing (fuzzing) [Электронный ресурс]. 2016.
URL:
http://searchsecurity.techtarget.com/definition/fuzz-testing (Обращение
28.05.2016)
12. Knowledge@Wharton/Ernst and Young, 2013. Mobile Banking: Financial Services Meet the Electronic Wallet, University of Pennsylvania [Электронный ресурс]. 2013. URL: http://kw.wharton.upenn.edu/ey- global-banking/mobile-banking/ (Обращение 28.05.2016)
13. Разработка защищенных банковских приложений: главные проблемы и как их избежать. Positive Technologies [Электронный ресурс] 2014. URL: https://habrahabr.ru/company/pt/blog/271287/
14. Тюрин А. АБС под прицелом [Электронный ресурс] 2015. URL: http://www.abajour.ru/files/62_227.pdf (Обращение 28.05.2016)
15. Ravinder K.S. Online Banking Security Flaws: A Study [Электронный ресурс] 08.08.2013. URL:
http://www. ij arcsse. com/docs/papers/Volume_3/8_August2013/V3I2- 0257.pdf (Обращение 28.05.2016)
16. Ducklin P. Just how secure is that mobile banking app? [Электронный ресурс] 10.01.2014. URL:
https: //nakedsecurity. sophos.com/2014/01/10/just-how-secure-is-that- mobile-banking-app/ (Обращение 28.05.2016)
17. DiffServ Code Point. Википедия [Электронный ресурс] 2016. https://ru.wikipedia.org/wiki/DiffServ_Code_Point (Обращение
28.05.2016)
Работу высылаем на протяжении 30 минут после оплаты.
Подобные работы
- ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4325 р. Год сдачи: 2018 - Формирование лояльности клиентов в отношении информационной безопасности при дистанционном банковском обслуживании (Безопасность банковской деятельности, РАНХ и ГС)
Курсовые работы, банковское дело и кредитование. Язык работы: Русский. Цена: 500 р. Год сдачи: 2018 - ДИСТАНЦИОННОЕ БАНКОВСКОЕ ОБСЛУЖИВАНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ: СОВРЕМЕННОЕ СОСТОЯНИЕ, ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ РАЗВИТИЯ
Магистерская диссертация, экономика. Язык работы: Русский. Цена: 5500 р. Год сдачи: 2019 - СОВЕРШЕНСТВОВАНИЕ БАНКОВСКИХ ПРОДУКТОВ ДЛЯ КОРПОРАТИВНЫХ КЛИЕНТОВ В РАМКАХ ВНЕДРЕНИЯ СИСТЕМ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ (НА ПРИМЕРЕ КРАСНОЯРСКОГО ОТДЕЛЕНИЯ НОМЕР 8646 ПАО СБЕРБАНК)
Магистерская диссертация, финансы и кредит. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - СОВЕРШЕНСТВОВАНИЯ ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИХ ОСНОВ ПРОТИВОДЕЙСТВИЯ ОТМЫВАНИЯ ДЕНЕГ В ДИСТАНЦИОННОМ БАНКОВСКОМ ОБСЛУЖИВАНИИ (НА ПРИМЕРЕ ПАО «СБЕРБАНК РОССИИ»)
Дипломные работы, ВКР, финансы и кредит. Язык работы: Русский. Цена: 5970 р. Год сдачи: 2016 - СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ ФИЗИЧЕСКИХ ЛИЦ В КРАСНОЯРСКОМ КРАЕ В ПАО СБЕРБАНК
Бакалаврская работа, финансы и кредит. Язык работы: Русский. Цена: 5900 р. Год сдачи: 2018 - РАЗВИТИЕ ДИСТАНЦИОННЫХ КАНАЛОВ ДОСТАВКИ БАНКОВСКИХ УСЛУГ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4380 р. Год сдачи: 2018 - ДИСТАНЦИОННОЕ БАНКОВСКОЕ ОБСЛУЖИВАНИЕ НАСЕЛЕНИЯ В УСЛОВИЯХ РЕАЛИЗАЦИИ ПРОГРАММЫ ПОВЫШЕНИЯ ФИНАНСОВОЙ ГРАМОТНОСТИ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4200 р. Год сдачи: 2018 - Методы и средства дистанционного банковского обслуживания клиентов на примере ПАО «АК БАРС» БАНК»
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4775 р. Год сдачи: 2016 - Современные формы банковского обслуживания: система «Интернет - Банкинг»
Дипломные работы, ВКР, финансы и кредит. Язык работы: Русский. Цена: 6300 р. Год сдачи: 2018
Заказать работу
Заявка на оценку стоимости
Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы
Каталог работ (149577)
- Бакалаврская работа (38342)
- Диссертация (978)
- Магистерская диссертация (22138)
- Дипломные работы, ВКР (60355)
- Главы к дипломным работам (2138)
- Курсовые работы (10522)
- Контрольные работы (6265)
- Отчеты по практике (1357)
- Рефераты (1481)
- Задачи, тесты, ПТК (631)
- Ответы на вопросы (155)
- Статьи, Эссе, Сочинения (942)
- Бизнес-планы (51)
- Презентации (106)
- РГР (84)
- Авторефераты (РГБ) (1692)
- Диссертации (РГБ) (1882)
- Прочее (458)
Новости
06.01.2018
Помощь студентам и аспирантам в выполнении работ от наших партнеров
Помощь в выполнении учебных и научных работ на заказ ОФОРМИТЬ ЗАКАЗ
дальше»» Все новости
Статьи
- Где лучше заказывать диссертации и дипломные?
- Выполнение научных статей
- Подготовка диссертаций
- Подводные камни при написании магистерской работы
- Помощь в выполнении дипломных работ
»» Все статьи
Заказать работу
Заявка на оценку стоимости
Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы