Flaws in banking websites
According to a recent study by University of Michigan ,in an examination of 214 bank Websites ,more than 75 percent of bank websites have at least one design flaw that could lead to the theft of customer information and flaws are ones that even an expert user would find difficult to detect and unlike bugs, cannot be fixed with a patch. It was recommended to use SSL throughout the entire website and to avoid using links to third-party sites[15].Secure banking websites have become an integral part of our day-to-day life from our personal to our job-related business . A survey conducted by Pew Internet states 42% of all internet users bank online. With 24/7 access from around the world users can view balances, transfer funds and lots more at their convenience using online banking. Due to the sensitive nature of these sites, security is a top priority. Hackers are increasingly launching targeted attacks against weak websites, as opposed to automated attacks against tens of thousands of sites at once .According to whiteHat Report 2011 the Cross-site scripting was the most prevalent threat, accounting for 55 percent of serious vulnerabilities. Cross-site scripting is when an attacker injects into a web page malicious scripts that can bypass a browser's security mechanism to gain access to a visiting user's computer.
Information leakage was the second most prevalent vulnerability. The flaw was found in 53 percent of the sites, down from 64 percent in 2010, when the vulnerability was number one. In general, WhiteHat found that Web application firewalls would have helped mitigate slightly more than 70 percent of custom Web application vulnerabilities. SQL injection vulnerabilities, a favorite hacker target, was the eighth most prevalent flaw. Fully 5 percent of sites had at least one such vulnerability that could be exploited without logging into the site.SQL injection is a popular way to attack databases through a website. SQL statements are entered into a field on a web form in an attempt to get the website to pass the command to the database. A typical request is for the database to deliver its content to the attacker. One such example is HDFC bank website https://leads.hdfcbank.com leaks information about individual Customers. This can be done by changing the Customer Id when opening up a Recurring Deposit Account[14]. It was seen on 4 feb,2010 and fixed on 17 feb,2010.The SQL vulnerability on HDFC Bank‟s website was discovered on 15-July-2011 and was reported on 17-July-2011.But even after conducting the vulnerability assessment from a third party they were not able to discover this critical flaw that existed in their web portal since a long time, until complete inputs about the vulnerability is sent to their security team.[14] According to a study released earlier this year by WhiteHat Security, the top banking Web site vulnerability in 2010 was information leakage. The term was used as a catch-all description of a vulnerability in which a Web site reveals sensitive data such as technical details of the Web application, environment or user-specific data.[13] WhiteHat revealed that common causes of this vulnerability were site operators' failure to "scrub out" HTML or script comments containing sensitive information, such as database passwords and improper application or server configurations. In its WhiteHat Security Website Statistics Report, released on Wednesday 6/29/2012, the company found that the average Website had 79 serious vulnerabilities in 2011, compared with 230 in 2010 but Banking Websites possessed the fewest number of serious vulnerabilities (17) of any industry.
Many banking websites Present Secure Login Options on Insecure Pages which leave users vulnerable to manin-the-middle attacks. Users don‟t have any way of knowing if their usernames and passwords are being sent to a hacker site. This makes it impossible for a user to make the correct decision. Some banking Sites forwarded users to new pages that had different domains without notifying the user from a secure page. Generally, if a knowledgeable user visits a secure website of bank, he or she will look for the bank‟s name in the URL, prefixed by https. Several financial institution websites start with https, but for some transactions, they redirect the customer to a site with different domain and even the signed certificate also bears a different company name. Now it is up to the user to determine if the new site is really affiliated with the financial institution or it happens to be a window that popped up as a result of some other event, or even an attack[2]. Contact Information/Security Advice on Insecure Pages that can be changed by hackers and can be used for their benefit because users rely on that information. So not only the data channel must be secured, but also the context that is used to generate the session keys for the channel must be secured and that security-relevant context is contact information or security advice because users rely on that Information. operations. And it has been also noted that some of the banking sites don‟t provide contact details where user should report in case of any security breech or suspected fraud. According to DSCI-KPMG Survey-2010 only 63% of Indian bank sites provide contact details on sites to report any breach-63% [10].
Security-Sensitive Information like social security numbers or passwords or account statements provided through email that is insecure channel of communication. Some banks send passwords or user IDs through email if user request that information incase user forget it and most of banks provide account statements monthly through email. But if mail server is insecure, an attacker could be view unencrypted traffic on the network and obtain the sensitive information and accounts of users can be compromised. Some banking sites has IP addresses that match with other lot of ugly sites that can result in easy hacking. And example of it is Jammu and Kashmir Bank‟s website. A reverse IP check shows this jkbank.net has the IP address: 68.178.156.75 and 53 sites found with the IP 68.178.156.75,a shared host with 53 ugly sites[5].
ICICI bank recently done mistake that the content of the CAPTCHA image was being sent in the Response Header.
This happened on the form where you enter your credit card details. It definitely made no sense having the
CAPTCHA.[5]
ข้อบกพร่องของเว็บไซต์ธนาคาร
ตามผลการศึกษาล่าสุดโดยมหาวิทยาลัยมิชิแกน ในการตรวจสอบของ 214 เว็บไซต์ธนาคาร มากกว่าร้อยละ 75 ของเว็บไซต์ธนาคารมีอย่างน้อยหนึ่งในการออกแบบข้อบกพร่องที่อาจนำไปสู่การขโมยข้อมูลของลูกค้าและข้อบกพร่องที่แม้แต่ผู้ใช้ผู้เชี่ยวชาญจะค้นหายากที่จะตรวจจับและแตกต่างจากแมลง , ไม่สามารถ คงกับแพทช์มันเป็นขอแนะนำให้ใช้ SSL ตลอดเว็บไซต์ทั้งหมดและหลีกเลี่ยงการใช้เชื่อมโยงไปยังเว็บไซต์ของบุคคลที่สาม [ 15 ] . เว็บไซต์การรักษาความปลอดภัยการธนาคารได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราจากส่วนบุคคลของเรากับธุรกิจที่เกี่ยวข้องกับงานของเรา การสำรวจโดย Pew Internet รัฐ 42 เปอร์เซ็นต์ของผู้ใช้อินเทอร์เน็ตธนาคารออนไลน์ กับเข้าถึง 24 / 7 จากทั่วโลกผู้ใช้สามารถดูยอดคงเหลือโอนเงิน และมากเพิ่มเติมที่สะดวกของพวกเขาใช้ธนาคารออนไลน์ เนื่องจากลักษณะที่สำคัญของเว็บไซต์เหล่านี้ ความปลอดภัยเป็นอันดับแรก แฮกเกอร์โจมตีเว็บไซต์อ่อนแอยิ่งขึ้น การกำหนดเป้าหมาย เป็นนอกคอก โจมตีอัตโนมัติกับนับหมื่นของเว็บไซต์ที่ครั้งหนึ่ง ตาม WhiteHat 2011 รายงานข้ามเว็บไซต์สคริปต์คือภัยคุกคามที่แพร่หลายมากที่สุดบัญชีสำหรับร้อยละ 55 จากช่องโหว่ร้ายแรง สคริปต์ข้ามไซต์เมื่อโจมตีฉีดเข้าสู่หน้าเว็บที่เป็นอันตรายสคริปต์ที่สามารถข้ามกลไกรักษาความปลอดภัยเบราว์เซอร์เพื่อเข้าถึงคอมพิวเตอร์เยี่ยมชมของผู้ใช้
ข้อมูล รั่ว คือช่องโหว่ที่แพร่หลายมากที่สุดสอง ข้อบกพร่องที่พบในร้อยละ 53 ของเว็บไซต์ , ลงจากร้อยละ 64 ในปี 2553เมื่อความเสี่ยงเป็นเบอร์หนึ่ง โดยทั่วไปพบว่าไฟร์วอลล์โปรแกรมเว็บ WhiteHat คงจะช่วยบรรเทาได้เล็กน้อย มากกว่าร้อยละ 70 ของเว็บช่องโหว่ของโปรแกรม ช่องโหว่การฉีด SQL , เป้าหมาย hacker ที่ชื่นชอบเป็นข้อบกพร่องที่แพร่หลายมากที่สุด 8 .ครบ 5 เปอร์เซ็นต์ของเว็บไซต์ มีอย่างน้อยหนึ่งเช่นช่องโหว่ที่สามารถใช้ประโยชน์ได้โดยไม่ต้องบันทึกลงใน site.sql ฉีดเป็นวิธีที่นิยมเพื่อโจมตีฐานข้อมูลผ่านเว็บไซต์ งบ SQL จะป้อนลงในเขตข้อมูลในแบบฟอร์มเว็บในความพยายามที่จะได้รับเว็บไซต์เพื่อส่งคำสั่งไปยังฐานข้อมูล ร้องขอโดยทั่วไปสำหรับฐานข้อมูลเพื่อให้เนื้อหาของคนร้ายตัวอย่างหนึ่งเช่น HDFC ธนาคารเว็บไซต์ https://leads.hdfcbank.com การรั่วไหลของข้อมูลเกี่ยวกับลูกค้าแต่ละราย นี้สามารถทำได้โดยการเปลี่ยนรหัสลูกค้าตอนเปิดรายการบัญชีเงินฝาก [ 14 ] มันถูกพบในวันที่ 4 ก.พ. 2553 และแก้ไขเมื่อ 17 ก.พ. 2010.the SQL ช่องโหว่บนเว็บไซต์ของธนาคาร HDFC ‟ถูกค้นพบและถูกรายงานบน 15-july-2011 17-july-2011 .แต่แม้หลังจากทำการช่องโหว่การประเมินจากบุคคลที่สามที่พวกเขาไม่สามารถที่จะค้นพบที่สำคัญข้อบกพร่องที่มีอยู่ในพอร์ทัลเว็บของพวกเขาตั้งแต่เวลานาน จนกระทั่งกระผมสมบูรณ์เกี่ยวกับช่องโหว่ถูกทีมรักษาความปลอดภัยของพวกเขา . [ 14 ] ตามการศึกษาที่เผยแพร่ก่อนหน้านี้ในปีนี้โดยการรักษาความปลอดภัย WhiteHat , ช่องโหว่เว็บไซต์ธนาคาร ด้านบนใน 2010 ข้อมูลรั่วคำที่ถูกใช้เป็นจับรายละเอียดของความเสี่ยงที่เว็บไซต์แสดงข้อมูลที่สำคัญเช่นรายละเอียดทางเทคนิคของเว็บแอพลิเคชัน สิ่งแวดล้อม หรือผู้ใช้ข้อมูลเฉพาะ [ 13 ] WhiteHat เปิดเผยว่า สาเหตุของความอ่อนแอนี้ผู้ประกอบการเว็บไซต์ล้มเหลวในการ " ขัด " HTML หรือสคริปต์ความคิดเห็นที่มีข้อมูลที่อ่อนไหวเช่นรหัสผ่านฐานข้อมูลและโปรแกรมประยุกต์ที่ไม่เหมาะสมหรือการกำหนดค่าเซิร์ฟเวอร์ ในของ WhiteHat สถิติการรักษาความปลอดภัยเว็บไซต์รายงานออกมาเมื่อวันพุธที่ 6 / 29 / 2012 บริษัท พบว่ามีเว็บไซต์เฉลี่ย 79 ร้ายแรงช่องโหว่ใน 2011 , เมื่อเทียบกับ 230 ในปี 2010 แต่ธนาคารเว็บไซต์มีจำนวนน้อยที่สุดของช่องโหว่ร้ายแรง ( 17 ) ของอุตสาหกรรมใด ๆ .
เว็บไซต์ของธนาคารมาก ปัจจุบันการเลือกบนหน้าเข้าสู่ระบบไม่ปลอดภัยซึ่งปล่อยให้ผู้ใช้เสี่ยงที่จะมานินการโจมตีตรงกลาง ผู้ใช้ยัง‟ t มีวิธีการทราบหากชื่อผู้ใช้และรหัสผ่านจะถูกส่งไปยังแฮกเกอร์เว็บไซต์ นี้จะทำให้มันเป็นไปได้สำหรับผู้ใช้ที่จะตัดสินใจให้ถูกต้องบางเว็บไซต์ธนาคารส่งต่อให้ผู้ใช้หน้าใหม่ที่มีโดเมนที่แตกต่างกันโดยไม่ต้องแจ้งผู้ใช้จากการรักษาความปลอดภัยหน้า โดยทั่วไป ถ้าผู้ใช้มีความรู้เข้าชมเว็บไซต์ที่ปลอดภัยของธนาคาร เขาหรือเธอจะมองหาธนาคาร‟ชื่อใน URL ที่ขึ้นต้นด้วยตัว https . เว็บไซต์สถาบันทางการเงินต่าง ๆ เริ่มต้นด้วย https ได้ แต่สำหรับการทำธุรกรรมบางอย่างพวกเขาเปลี่ยนเส้นทางลูกค้าไปยังเว็บไซต์ที่มีโดเมนและแม้ลงนามในใบรับรองยังหมีชื่อ บริษัท ที่แตกต่างกัน ตอนนี้มันขึ้นอยู่กับผู้ใช้เพื่อตรวจสอบว่าเว็บไซต์ใหม่จริง ๆ ที่เกี่ยวข้องกับสถาบันการเงิน หรือ มันเกิดขึ้นเป็น หน้าต่างที่เด้งขึ้นมา เป็นผลจากเหตุการณ์อื่น หรือแม้แต่การโจมตี [ 2 ]ข้อมูลแนะนำในหน้าเว็บที่ไม่ปลอดภัยที่สามารถเปลี่ยนแปลงได้โดยแฮกเกอร์และสามารถใช้เพื่อประโยชน์ของตน เพราะผู้ใช้พึ่งพาข้อมูล / การติดต่อ ดังนั้นไม่เพียง แต่ข้อมูลช่องจะต้องมีความปลอดภัยแต่ยังมีบริบทที่ใช้ในการสร้างเซสชันคีย์สำหรับช่องต้องปลอดภัยและการรักษาความปลอดภัยที่เกี่ยวข้อง บริบทเป็นข้อมูลติดต่อหรือการรักษาความปลอดภัยคำแนะนำเนื่องจากผู้ใช้ขึ้นอยู่กับข้อมูลที่ การดําเนินงาน และมันก็ยังกล่าวว่าบางส่วนของธนาคารเว็บไซต์ก็‟ T ให้รายละเอียดการติดต่อที่ผู้ใช้ควรรายงานกรณีการรักษาความปลอดภัยใด ๆ ก้น หรือสงสัยว่าทุจริตตาม dsci-kpmg survey-2010 เพียง 63% ของเว็บไซต์ธนาคารอินเดียให้รายละเอียดการติดต่อในเว็บไซต์เพื่อรายงาน breach-63 % [ 10 ]
ความปลอดภัยอ่อนไหวข้อมูลเช่นหมายเลขประกันสังคมหรือรหัสผ่านหรือบัญชีงบให้ผ่านอีเมล์ที่ไม่ปลอดภัยเป็นช่องทางของการสื่อสารบางธนาคารจะส่งรหัสผ่านหรือรหัสผู้ใช้ผ่านทางอีเมลหากผู้ใช้ร้องขอข้อมูลผู้ใช้ในกรณีที่ลืมมันและส่วนใหญ่ของธนาคาร ให้งบบัญชีรายเดือนผ่านทางอีเมล์ แต่ถ้าเซิร์ฟเวอร์อีเมลจะไม่ปลอดภัย ผู้โจมตีอาจจะดูเข้ารหัสการจราจรบนเครือข่ายและได้รับข้อมูลที่สําคัญและบัญชีผู้ใช้จะถูกละเมิดบางเว็บไซต์ธนาคารมีที่อยู่ IP ที่ตรงกับเว็บไซต์ที่น่าเกลียดมาก ๆที่ได้ผลในง่ายแฮ็ค และตัวอย่างของรัฐชัมมูและแคชเมียร์ ‟เป็นธนาคารของเว็บไซต์ Reverse IP ตรวจสอบแสดง jkbank.net นี้มี IP : 68.178.156.75 53 เว็บไซต์พบกับ IP 68.178.156.75 , ใช้ร่วมกันโฮสต์กับ 53 น่าเกลียดเว็บไซต์ [ 5 ]
ธนาคาร ICICI เพิ่งทำพลาดที่เนื้อหาของภาพ CAPTCHA ถูกส่งในส่วนหัวของการตอบสนอง .
นี่เกิดขึ้นในแบบฟอร์มที่คุณกรอกรายละเอียดบัตรเครดิตของคุณ มันทำให้รู้สึกไม่มี captcha [ 5 ]
.
การแปล กรุณารอสักครู่..