Приложение банка для выдачи кредитов с набором сервисов безопасности

Поскольку увеличиваются случаи и улучшаются методы атак на современные web-приложения, резко возрастает потребность в усовершенствовании средств обеспечения безопасности информационных продуктов. Это касается прежде всего тех, которые тесно связаны с финансовыми операциями пользователей и хранением их личных данных. К таким продуктам, очевидно, относятся приложения банков.

Во время подготовки к выполнению ВКР была поставлена цель, заключающаяся в разработке приложения банка для выдачи кредитов с набором сервисов безопасности. Приложение должно иметь интуитивно понятный интерфейс для облегчения взаимодействия с ним клиентов разных возрастных категорий. На основе предъявленных пользователем персональной и кредитной информации приложение в автоматическом режиме должно принимать решение об одобрении заявки на кредит.

Для  достижения  поставленной  цели   должны  быть  выполнены следующие задачи:

1)               изучение предметной области и теории кредитования;

2)               анализ банковских приложений-аналогов;

3)               выбор       инструментов       разработки      и       архитектуры разрабатываемого приложения;

4)               определение моделей хранимой информации;

5)               создание макета внешнего вида приложения;

6)               программная реализация основных функциональных компонентов приложения: регистрация и авторизация, ввод данных пользователями, система подачи кредитных заявок, автоматическая система одобрения кредитов и их отслеживание;

7)               разработка и внедрение средств информационной безопасности приложения: валидация вводимых данных, регистрация и аутентификация по протоколу Secure Remote Password (далее – SRP), использование JSON Web Token (далее – JWT-токены) для предоставления доступа пользователям к ресурсам, шифрование данных при их передаче на сервер, возможность двухфакторной аутентификации, а также защита приложения от SQL- инъекций и Cross-Site Scripting (далее XSS – атак).

ВВЕДЕНИЕ..................................................................................................... 3

1.       Изучение предметной области и теории кредитования........................... 5

2.       Анализ приложений-аналогов.................................................................. 9

3.       Технологии разработки и архитектура приложения............................ 11

4.       Проектирование приложения и определение моделей данных............. 15

5.       Описание интерфейса приложения......................................................... 18

6.       Элементы информационной безопасности и функционал приложения 23

6.1.  Регистрация и аутентификация по протоколу Secure Remote Password 23

6.2.  JSON Web Token..................................................................................... 28

6.3.  Шифрование данных.............................................................................. 29

6.4.  Двухфакторная аутентификация............................................................ 31

6.5.  Защита от SQL-инъекций и Cross-Site Scripting.................................... 32

6.6.  Система одобрения кредитов и их отслеживание................................. 33

7.         Тестирование приложения..................................................................... 38

7.1.  Тестирование валидации........................................................................ 38

7.2.  Тестирование системы одобрения кредитов.......................................... 41

ЗАКЛЮЧЕНИЕ............................................................................................. 43

СПИСОК ЛИТЕРАТУРЫ............................................................................. 48

ПРИЛОЖЕНИЯ............................................................................................ 50

Приложение 1. srp.js..................................................................................... 50

Приложение 2. Методы AccountController.cs.............................................. 55

Приложение 3. JwtService............................................................................. 58

Приложение 4. GetUserService.cs................................................................. 59

Приложение 5. _2faService.cs....................................................................... 59

Приложение 6. CreditService.cs.................................................................... 60

1)               Кредит: что это такое, виды и функции кредита / Альфабанк [сайт]. — 2023. — URL: https://inlnk.ru/3ZMk9M (дата обращения 29.04.2023).

2)               Процентная ставка по кредиту: от чего она зависит и как выбрать кредит с наименьшей переплатой / Банки.ру [сайт]. — 2023. — URL: https://inlnk.ru/meLQm7 (дата обращения 30.04.2023).

3)               Проверка перед выдачей кредита: как банки изучают заемщиков / Все займы онлайн [сайт]. — 2023. — URL: https://vsezaimyonline.ru/reviews/credit-check.html#3 (дата обращения 02.05.2023).

4)               Как получить одобрение на кредит в банке? / Сравни [сайт]. — 2023. — URL: https://www.sravni.ru/enciklopediya/info/kak-poluchit-odobrenie- na-kredit-v-banke/ (дата обращения 02.05.2023).

5)               Аннуитетные  и  дифференцированные платежи  /  Финуслуги [сайт].                   —                         2017.                            —                         URL: https://finuslugi.ru/navigator/kredity/stat_annuitetnye_i_differentsirovannye_plate zhi (дата обращения 02.05.2023).

6)               Web Crypto API Documentation/ Web Crypto API [сайт]. — 2023.

—         URL:   https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API (дата обращения 10.05.2023).

7)               Что такое MVC: рассказываем простыми словами / Хекслет [сайт]. — 2022. — URL: https://ru.hexlet.io/blog/posts/chto-takoe-mvc- rasskazyvaemprostymi-slovami (дата обращения: 30.04.2023).

8)               SRP-6: аутентификация без передачи пароля / Хабр [сайт]. — 2011. — URL: https://habr.com/ru/articles/121021/ (дата обращения 30.04.2023).

9)               Пять простых шагов для понимания JSON Web Tokens (JWT) / Хабр [сайт]. — 2017. — URL: https://habr.com/ru/articles/340146/ (дата обращения 25.04.2023).

10)           Симметричный алгоритм блочного шифрования Advanced Encryption Standart / Хабр [сайт]. — 2020. — URL: https://habr.com/ru/articles/534620/ (дата обращения 13.04.2023).

11)           Entity FrameWork защита от SQL инъекций / stack overflow [сайт].

—  2020. — URL: https://inlnk.ru/XOBGGa (дата обращения 04.05.2023).

12)           Prevent Cross-Site Scripting (XSS) in ASP.NET Core / Learn Microsoft [сайт]. — 2023. — URL: https://learn.microsoft.com/en- us/aspnet/core/security/cross-site-scripting?view=aspnetcore-7.0 (дата обращения 04.05.2023).