Niezabezpieczona aplikacja może narazić użytkowników i systemy na różne uszkodzenia. Gdy ktoś wykorzystuje luki w zabezpieczeniach lub brak zabezpieczeń jest to tzw. atak. Zrobimy zapoznaj się z różnymi typami ataków w tym przewodniku, aby wiedzieć, na co zwracać uwagę. podczas zabezpieczania aplikacji.
Ataki aktywne a pasywne
Ataki można podzielić na 2 rodzaje: aktywne i pasywne.
Aktywne ataki
przy aktywnym ataku atakującym próbuje włamać się do aplikacji; bezpośrednio. Można to zrobić na wiele sposobów, od użycia wartości fałsz dostęp do danych wrażliwych (atak z użyciem maskowania) w celu zalania Twojego serwera, które często powodują, że aplikacja nie odpowiada (odmowa atak usługi).
Aktywne ataki można również przeprowadzać na dane w ruchu. Osoba przeprowadzająca atak może zmodyfikować danych aplikacji, zanim trafią one do przeglądarki użytkownika, więcej informacji lub kieruje użytkownika do niezamierzonego miejsca docelowego. To jest czasami nazywane modyfikowaniem wiadomości.
Atak pasywny
W przypadku ataku pasywnego atakujący próbuje zebrać lub poznać informacje z aplikacji, ale nie ma wpływu na samą aplikację.
Wyobraź sobie, że ktoś podsłuchuje Twoją rozmowę z rodziną i znajomymi, zbieranie informacji o Twoim życiu osobistym, kim są Twoi znajomi i gdzie są spędzasz czas. To samo możesz zrobić w przypadku ruchu w witrynie. Osoba przeprowadzająca atak może zbierać dane między przeglądarką a serwerem i zbierać nazwy użytkowników hasła, nazwy użytkowników historię przeglądania i wymiany danych.
Obrona przed atakami
Osoby przeprowadzające atak mogą bezpośrednio wyrządzić szkody w aplikacji lub wykonać złośliwą operację na w witrynie, jeśli nie zauważysz tego ani Ty. Potrzebne są mechanizmy i ochronę przed atakami.
Niestety, nie ma jednego rozwiązania, które sprawi, że Twoja aplikacja będzie w 100% bezpieczna. W praktyce wiele funkcji i technik zabezpieczeń jest stosowanych w warstwie, aby zapobiegać lub opóźnić atak (jest to tzw. obrona w głąb). Jeśli aplikacja zawiera formularz, sprawdź dane wejściowe w przeglądarce, a następnie na serwerze i w bazie danych, użyj protokołu HTTPS do zabezpieczenia danych, w drodze.
Podsumowanie
Wiele ataków może nastąpić bez ataku na serwer, więc czasem jest trudna do określenia, czy ma miejsce ataki. Dobra wiadomość jest taka, że internet przeglądarki mają wbudowane zaawansowane funkcje zabezpieczeń. Obserwuj następny temat „Jak przeglądarka zapobiega atakom” aby dowiedzieć się więcej.