
Тип работы:	Предмет:	Язык работы:

БЕЗОПАСНОСТЬ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ

Работа №	53339
Тип работы	Бакалаврская работа
Предмет	информационная безопасность
Объем работы	80
Год сдачи	2016
Стоимость	4390 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено	432

Не подходит работа?

Узнай цену на написание

Содержание

Введение
ДБО И УЯЗВИМОСТИ ИНТЕРНЕТ-БАНКИНГА 5
1.1. Виды ДБО 5
1.2. Структура ДБО 7
1.3. Классификация уязвимостей в ДБО 9
1.4 Безопасность HTTP заголовков 17
1.5 Уязвимости SSL и TLS протоколов 20
1.6 Проверка доменов 25
1.7 Межсайтовый скриптинг 30
2. УЯЗВИМОСТЬ МОБИЛЬНОГО БАНКИНГА 34
2.1 Каналы мобильного банкинга 34
2.2 Оценка безопасности мобильных банковских приложений 35
2.3 Возможные атаки на клиентскую часть 36
2.4 Исследования безопасности приложений под iOS 38
2.5 Исследования безопасности приложений под Android 43
3. ПРАКТИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ УЯЗВИМОСТЕЙ 47
3.1 Построение модели ДБО на виртуальной машине 47
3.2 Отраженный XSS 48
3.3 Хранимый XSS 52
3.4 SQL-инъекция 55
3.5 Выполнение команд 56
3.6 Межсайтовая подделка запросов 60
3.7 Поиск уязвимостей в среде Android 61
4. НАСТРОЙКА СЕТЕВОГО ЭКРАНА 68
4.1 Сетевые настройки 69
4.2 Настройка межсетевого моста 70
4.3 Создание правил брандмауэра 73
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА

Введение

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом банку удаленным образом.
Интернет-банкинг становится все более популярным во всем мире, с каждым днем, количество операций совершаемых через интернет только растет, позволяя своим клиентам легко и удобно с помощью сети интернет управлять своими банковскими счетами из любой точки мира в любое время. Банки поддерживают эту тенденцию, т.к. задействовав интернет, они экономят свои ресурсы, например, такие как количество задействованного персонала, инвестиции в банкоматы, развитие региональной сети и другие эксплуатационные расходы. Тем не менее, поскольку интернет изначально не был разработан для интернет-банкинга, он сталкивается с широким спектром угроз в безопасности, как для банков, так и для конечных пользователей.
С развитием интернета увеличивается конкуренция в банковском обслуживании частных лиц, банки становятся еще более вовлеченными в высокотехнологичную область, делая упор на электронную коммерцию в предоставляемых услугах. Также повышаются требования клиентов, которые они предъявляют к банкам, такие показатели как удобство работы со счетами, быстрый доступ к банковским услугам и скорость их реализации требуют пристального внимания в конкурентной борьбе за потребителя. Именно в борьбе за клиента банки вводят новые функции и возможности в систему ДБО усложняя её, делая более динамичной. Но в погоне за конкурентом и новыми возможностями банки увеличивают риски нарушения безопасности и величину возможных финансовых потерь.
Одновременно с интернет-банкингом идет активное развитие мобильных технологий, которые расширяют возможности онлайн-банкинга делая его более мобильным, но и одновременно с этим открывают злоумышленникам новые возможности. Область приложений мобильного- банкинга несет немало потенциальных угроз, идущих от операционной системы, его окружения и самого пользователя.
Цель работы: Выявить и изучить основные угрозы и уязвимости дистанционного банковского обслуживания (ДБО), а также причины их возникновения.
Поставленная цель потребовала решения следующих задач:
1) проанализировать статистику по инцидентам нарушений контуров безопасности онлайн-банкинга;
2) провести подробную классификацию угроз ДБО;
3) разработать тестовый сайт онлайн-банкинга, на котором было бы возможно смоделировать и проанализировать уязвимости;
4) построить модель ДБО, включающую веб-сервер и сетевой экран, с целью практического ознакомления методами защиты веб-приложений и фильтрации трафика;
5) проанализировать возможности приложений по поиску уязвимостей в мобильных устройствах на основе ОС Android и iOS.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

Курсовые Статьи Диплом Рязань

Заключение

1. На основе анализа общедоступной статистики по инцидентам нарушений контуров безопасности онлайн-банкинга проведена подробная классификация основных уязвимостей дистанционного банковского обслуживания (ДБО). Наиболее значимыми уязвимостями являются:
1) межсайтовый скриптинг,
2) SQL-инъекции,
3) межсайтовая подделка запроса,
4) использование компонентов с известными уязвимостями,
5) недочеты системы аутентификации и хранения сессий,
6) неправильная настройка SSL сертификатов.
2. Построена сетевая модель взаимодействия клиента банка с системой ДБО на основе средства виртуализации VirtualBox. Модель включает виртуальные машины клиента (Windows 7) и сервера (Windows Server 2008 R2), защищаемого межсетевым экраном на базе специализированного дистрибутива ОС FreeBSD pfSense. Для настройки брандмауэра проанализирован трафик для каждого возможного клиента ДБО. Проведено подключение контентного фильтра SquidGuard, а также прокси сервера HAVP, осуществляющего фильтрацию вирусов.
3. Создана модель сайта онлайн-банкинга, имеющего стандартные формы аутентификации пользователей и средства управления учетными записями. Для реализации сайта установлен HTTP-сервер Apache 2.0 и СУБД MySQL. Показано применение методов выявления уязвимостей на примере угроз:
1) отраженный и хранимый XSS,
2) инъекция в базу данных MySQL,
3) выполнение неинициированных пользователем команд ОС,
4) межсайтовая подделка запросов.
4. Проведен анализ безопасности применения мобильных устройств на ОС iOS и Android в мобильном банкинге. В результате было выявлено:
1) безопасность приложения мобильного банка зависит от безопасности самой системы в которой оно используется;
2) большую угрозу несут приложения, имеющие доступ к SSL сертификатам;
3) привязка сессии к SIM карте производится лишь малым числом банков;
4) некоторые установленные приложения могут обращаться к незаявленным функциям системы для получения несанкционированного доступа к данным мобильного банкинга, например, получать доступ к выпискам или снимать информацию со скриншотов.
Для поиска уязвимостей в мобильных системах рекомендуется использовать специальные приложения, осуществляющие сканирование устройства на наличие уязвимостей, например Stagefright Detector, iScan Online, Bluebox Security Scanner или Recap.

Литература

1. Обзор о несанкционированных денежных переводах. Центробанк [Электронный ресурс]. 2015 год. URL: http://www.cbr.ru/psystem/P- sys/survey_2015.pdf (Обращение 15.04.2016)
2. Система "ДБО BS-Client". Росэнергобанк [Электронный ресурс]. 2012 год. URL:
https://www.rosenergobank.ru/upload/files/corporate/remote_services/bank_ customer/instr_bkb.pdf (Обращение 13.05.2016)
3. Бреева А. Вебинар «Уязвимости веб-приложений и систем ДБО в 2013 и 2014 годах». - 2015. URL:
https://www.youtube.com/watch?v=N6J8m0ovxH8 (Обращение
28.05.2016)
4. Top Ten 2013 Project. OWASP [Электронный ресурс]. 2016. URL: https: //www.owasp .org/index.php/T op 10#OWASP_T op_10_for_2013
5. Атака Clickjacking и защита от неё. Современный учебник JavaScript [Электронный ресурс]. 2015. URL:
https://learn.javascript.ru/clickjacking (Обращение 30.05.2016)
6. «Content Security Policy — опасная политика». Журнал «Хакер» [Электронный ресурс]. 23.12.2013. URL: https://xakep.ru/2013/12/23/61798/ (Обращение 28.05.2016)
7. Vulnerability Summary for CVE-2015-0204. NIST [Электронный ресурс]. 02.04.2015. URL: https: //web.nvd.nist. gov/view/vuln/detail?vulnId=CVE- 2015-0204 (Обращение 28.05.2016)
8. . Cross-site scripting. Википедия [Электронный ресурс]. 2016. URL: https://en.wikipedia.org/wiki/Cross-site_scripting (Обращение 28.05.2016)
9. Cross-site Scripting (XSS). OWASP [Электронный ресурс]. 2016. URL: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) (Обращение
28.05.2016)
10. Турбанов А., Тютюнник А. Банковское дело: Операции, технологии, управление/ А.Л. Турбанов, А.В. Тютюнник— М.: Издательский центр «Альпина Паблишер», 2009. — 682 с.
11. Margaret Rouse. Fuzz testing (fuzzing) [Электронный ресурс]. 2016.
URL:
http://searchsecurity.techtarget.com/definition/fuzz-testing (Обращение
28.05.2016)
12. Knowledge@Wharton/Ernst and Young, 2013. Mobile Banking: Financial Services Meet the Electronic Wallet, University of Pennsylvania [Электронный ресурс]. 2013. URL: http://kw.wharton.upenn.edu/ey- global-banking/mobile-banking/ (Обращение 28.05.2016)
13. Разработка защищенных банковских приложений: главные проблемы и как их избежать. Positive Technologies [Электронный ресурс] 2014. URL: https://habrahabr.ru/company/pt/blog/271287/
14. Тюрин А. АБС под прицелом [Электронный ресурс] 2015. URL: http://www.abajour.ru/files/62_227.pdf (Обращение 28.05.2016)
15. Ravinder K.S. Online Banking Security Flaws: A Study [Электронный ресурс] 08.08.2013. URL:
http://www. ij arcsse. com/docs/papers/Volume_3/8_August2013/V3I2- 0257.pdf (Обращение 28.05.2016)
16. Ducklin P. Just how secure is that mobile banking app? [Электронный ресурс] 10.01.2014. URL:
https: //nakedsecurity. sophos.com/2014/01/10/just-how-secure-is-that- mobile-banking-app/ (Обращение 28.05.2016)
17. DiffServ Code Point. Википедия [Электронный ресурс] 2016. https://ru.wikipedia.org/wiki/DiffServ_Code_Point (Обращение
28.05.2016)