网银基础业务及系统架构
去年在公司做个一场简单的网银培训,包括网银常规组成部分,还有网银中常见的安全机制。
把PPT做成图片放上来,以备后续自己复习。感兴趣的童鞋也可以看看,有什么疑问也可以咨询我,尽力解答。
虚拟柜台,可以将网银理解为一个特殊的柜面。同时也在具体交易中。网银也有虚拟柜员、虚拟网点概念
部分柜面交易前推
3A银行(Anytime、Anywhere、Anyway)
渠道系统
- 信息录入及提交、查询
- 无账务、无具体业务处理
- 客户、用户、账户、流水、限额、证书。。。
密码控件应该包含防钩子,保证密码无明文。不管是在内存中还是哪里。
Ukey
- 1代key,由于部分用户长期插在电脑上,存在风险。
- 1.5代key,后有水晶头,需要点击后才可签名。
- 2代key,带显示屏,需确定敏感信息(如金额,账户)后确定。
跨域 ,判断referer里的地址是否和当前的地址一致
Referer,银联在线支付等交易。在应用中配置固定Referer地址。
sessionID修改,网银登陆成功后应用修改当前浏览器的sessionID。
Cookie,会话Cookie中存有sessionID 。添加httponly后js无法获取和解析cookie。
XSS\Iframe\sql注入、脚本注入。。。