แอปพลิเคชันที่ไม่ปลอดภัยอาจทำให้ผู้ใช้และระบบได้รับความเสียหายหลายประเภท เมื่อบุคคลที่เป็นอันตรายใช้ช่องโหว่หรือไม่มีฟีเจอร์ด้านความปลอดภัยเพื่อสร้างความได้เปรียบและก่อให้เกิดความเสียหาย การกระทำดังกล่าวเรียกว่าการโจมตี เราจะพูดถึงการโจมตีประเภทต่างๆ ในคู่มือนี้เพื่อให้คุณทราบว่าต้องระวังอะไรบ้างเมื่อต้องการรักษาความปลอดภัยให้กับแอปพลิเคชัน
การโจมตีแบบแอ็กทีฟกับการโจมตีแบบพาสซีฟ
การโจมตีแบ่งออกเป็น 2 ประเภท ได้แก่ การโจมตีแบบแอ็กทีฟและแบบพาสซีฟ
การโจมตีที่เกิดขึ้นอยู่
การโจมตีที่ใช้งานอยู่คือผู้โจมตีพยายามเจาะแอปพลิเคชันโดยตรง ซึ่งทำได้หลายวิธี ตั้งแต่การใช้ข้อมูลประจำตัวปลอมเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน (การโจมตีแบบแอบอ้างเป็นบุคคลอื่น) ไปจนถึงการโจมตีเซิร์ฟเวอร์ด้วยปริมาณการเข้าชมจำนวนมากเพื่อทำให้แอปพลิเคชันไม่ตอบสนอง (การโจมตีแบบการปฏิเสธการให้บริการ)
การโจมตีแบบแอ็กทีฟยังเกิดขึ้นกับข้อมูลที่อยู่ระหว่างการรับส่งได้ด้วย ผู้โจมตีอาจแก้ไขข้อมูลแอปพลิเคชันของคุณก่อนที่จะส่งไปยังเบราว์เซอร์ของผู้ใช้ ซึ่งจะแสดงข้อมูลที่แก้ไขในเว็บไซต์หรือนำผู้ใช้ไปยังปลายทางที่ไม่ต้องการ การดำเนินการนี้บางครั้งเรียกว่าการแก้ไขข้อความ
การโจมตีแบบพาสซีฟ
การโจมตีแบบไม่โต้ตอบคือผู้โจมตีพยายามรวบรวมหรือเรียนรู้ข้อมูลจากแอปพลิเคชัน แต่ไม่ส่งผลต่อแอปพลิเคชันเอง
ลองจินตนาการว่ามีคนแอบฟังการสนทนาของคุณกับเพื่อนและครอบครัว รวบรวมข้อมูลเกี่ยวกับชีวิตส่วนตัวของคุณ เพื่อนของคุณ และสถานที่ที่คุณไป คุณทำสิ่งเดียวกันนี้กับการเข้าชมเว็บได้ ผู้โจมตีอาจบันทึกข้อมูลระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ที่รวบรวมชื่อผู้ใช้และรหัสผ่าน ประวัติการท่องเว็บของผู้ใช้ และข้อมูลที่แลกเปลี่ยน
การป้องกันการโจมตี
ผู้โจมตีอาจทำอันตรายต่อแอปพลิเคชันโดยตรงหรือดำเนินการที่เป็นอันตรายในเว็บไซต์ของคุณโดยที่คุณหรือผู้ใช้ไม่ทันสังเกต คุณต้องมีกลไกในการตรวจจับและป้องกันการโจมตี
ขออภัย เราไม่พบโซลูชันเดียวที่จะทำให้แอปพลิเคชันของคุณปลอดภัย 100% ในทางปฏิบัติ ระบบจะใช้ฟีเจอร์และเทคนิคด้านความปลอดภัยหลายอย่างในหลายชั้นเพื่อป้องกันหรือชะลอการโจมตีเพิ่มเติม (เรียกว่าการป้องกันแบบหลายชั้น) หากแอปพลิเคชันมีแบบฟอร์ม คุณอาจตรวจสอบอินพุตในเบราว์เซอร์ จากนั้นตรวจสอบในเซิร์ฟเวอร์ และสุดท้ายตรวจสอบในฐานข้อมูล นอกจากนี้ คุณจะใช้ HTTPS เพื่อรักษาความปลอดภัยของข้อมูลที่ส่งผ่านด้วย
สรุป
เนื่องจากการโจมตีหลายครั้งอาจเกิดขึ้นโดยที่ไม่เคยเข้าถึงเซิร์ฟเวอร์ของคุณเลย ในบางครั้งจึงตรวจจับได้ยากว่ากำลังมีการโจมตีเกิดขึ้นหรือไม่ ข่าวดีคือเว็บเบราว์เซอร์มีฟีเจอร์ด้านความปลอดภัยที่มีประสิทธิภาพในตัวอยู่แล้ว ดูข้อมูลเพิ่มเติมในหัวข้อถัดไป นั่นคือ "วิธีที่เบราว์เซอร์ลดความเสี่ยงจากการโจมตี"