logo search
Диплом / 18

1.4.7 Уязвимости по

Стоит сказать, что взламывать могут не только клиентов, но и сам банк. Согласно данным пен-тестов уязвимости можно найти и в современных БК, от именитых производителей. В разное время и в разных системах был найден классический набор ошибок: XSS-, SQL-инъекции, логические ошибки доступа, отсутствие шифрования критичных данных и т.д., и т.п. Примеры векторов атак при этом могут быть разными, но основа все-таки почти всегда полу-инсайдерская. Дело в том, что если у злоумышлиника уже есть доступ к БК, то есть, фактически, он — клиент банка, то возможностей по взлому самого банка у него на порядок больше. Один из примеров логической ошибки: система перевода валют, БК предоставляет такой функционал. У клиента, есть два счета — валютный и рублевый. Скрипт перевода выглядит так: на вход сумма в рублях и валюта. На выходе — сумма в рублях, текущий курс, сумма в долларах и хеш. После подтверждения пользователем, согласия на перевод, данные передаются в третий скрипт, который проверяет хеш (это от CSRF) и обрабатывает ввод, делая update в БД. На втором шаге можно изменить курс доллара на более выгодный, а второй скрипт уже не проверяет курс. Это пример логической ошибки.

Основные правила

  1. Сегментация — компьютеры с БК в отдельной подсети;

  2. Политика пользования — должны быть правила по работе с этими ПК;

  3. Антивирусная защита;

  4. Ключевая политика — использование USB-тoken’ов и правила их использования также важны — не оставлять токен все время в компьютере.

  5. Парольная политика 

  6. ПК, его софт, процессы и порты должны быть обоснованы для использования. Все лишнее — отключить;

  7. Фильтрация доступа на сетевом уровне — с БК машин могут подключаться только на IP банков и на определенные порты, входящий трафик запрещен (динамическая фильтрация входящих пакетов);

  8. Патч-менеджмент;

  9. Аудит

  10. Проверка внешнего периметра

  11. Проверка того, что локальная БД не видна в локальной сети и нет паролей по умолчанию.