אפליקציה לא מאובטחת עלולה לחשוף משתמשים ומערכות לסוגים שונים של נזק. כשגורם זדוני משתמש בנקודות חולשה או בחוסר תכונות אבטחה לטובתו כדי לגרום נזק, זה נקרא התקפה. במדריך הזה נבחן סוגים שונים של התקפות, כדי שתוכלו לדעת מה לחפש כשאתם מאבטחים את האפליקציה.
התקפות פעילות לעומת התקפות פסיביות
ההתקפות מתחלקות לשני סוגים: התקפות פעילות והתקפות פסיביות.
התקפות פעילות
בהתקפה פעילה,התוקף מנסה לפרוץ לאפליקציה ישירות. יש מגוון דרכים לעשות זאת, החל משימוש בזהות מזויפת כדי לגשת למידע אישי רגיש (התקפת התחזות) ועד להצפה של השרת בכמויות עצומות של תנועה כדי לגרום לאפליקציה לא להגיב (התקפת מניעת שירות).
אפשר גם לבצע התקפות פעילות על נתונים במעבר. תוקף יכול לשנות את נתוני האפליקציה לפני שהם מגיעים לדפדפן של המשתמש, להציג מידע שעבר שינוי באתר או להפנות את המשתמש ליעד לא מתוכנן. פעולה כזו נקראת לפעמים שינוי של הודעות.
התקפה פסיבית
בהתקפה פסיבית, התוקף מנסה לאסוף מידע מהאפליקציה או ללמוד ממנה מידע, אבל לא משפיע על האפליקציה עצמה.
נסו לדמיין מישהו שמאזין לשיחות שלכם עם חברים ובני משפחה, אוסף מידע על החיים האישיים שלכם, על החברים שלכם ועל המקומות שבהם אתם מבלים. אפשר לעשות את אותו הדבר בתנועת הגולשים באינטרנט. תוקף יכול לתעד נתונים בין הדפדפן לשרת, לאסוף שמות משתמשים וסיסמאות, היסטוריית גלישה של משתמשים ונתונים שמתחלפים.
הגנה מפני התקפות
תוקפים יכולים לפגוע ישירות באפליקציה או לבצע פעולה זדונית באתר שלכם בלי שאתם או המשתמשים תבחינו בכך. אתם צריכים מנגנונים לזיהוי התקפות ולהגנה מפניהן.
לצערנו, אין פתרון יחיד שיעשה את האפליקציה מאובטחת ב-100%. בפועל, נעשה שימוש בשכבות רבות של תכונות ושיטות אבטחה כדי למנוע את ההתקפה או לעכב אותה עוד יותר (השיטה הזו נקראת הגנה לעומק). אם האפליקציה מכילה טופס, אפשר לבדוק את הקלט בדפדפן, אחר כך בשרת ולבסוף במסד הנתונים. בנוסף, צריך להשתמש ב-HTTPS כדי לאבטח את הנתונים במעבר.
סיכום
מאחר שאפשר לבצע הרבה תקיפות בלי שהן יגיעו לשרת, לפעמים קשה לזהות אם מתבצעות תקיפות או לא. החדשות הטובות הן שבדפדפני אינטרנט כבר יש תכונות אבטחה חזקות מובנות. למידע נוסף, אפשר לעבור לנושא הבא: "איך הדפדפן מגן מפני התקפות".