असुरक्षित ऐप्लिकेशन से, उपयोगकर्ताओं और सिस्टम को कई तरह की नुकसान पहुंच सकता है. जब कोई नुकसान पहुंचाने वाला व्यक्ति या ग्रुप, सुरक्षा से जुड़ी कमियों या सुरक्षा सुविधाओं के न होने का फ़ायदा उठाता है, तो उसे हमला कहा जाता है. हम इस गाइड में अलग-अलग तरह के हमलों के बारे में बताएंगे, ताकि आपको अपने ऐप्लिकेशन को सुरक्षित करते समय, ध्यान रखने वाली बातों के बारे में पता चल सके.
ऐक्टिव अटैक बनाम पैसिव अटैक
हमलों को दो अलग-अलग तरह से बांटा जा सकता है: ऐक्टिव और पैसिव.
सक्रिय हमले
सक्रिय हमले में,हमलावर सीधे तौर पर ऐप्लिकेशन में घुसने की कोशिश करता है. ऐसा करने के कई तरीके हैं. जैसे, संवेदनशील डेटा ऐक्सेस करने के लिए झूठी पहचान का इस्तेमाल करना (मास्करेड अटैक) और आपके ऐप्लिकेशन को काम न करने के लिए, आपके सर्वर पर ज़्यादा ट्रैफ़िक भेजना (डिनायल ऑफ़ सर्विस अटैक).
ट्रांज़िट में डेटा पर भी सक्रिय हमले किए जा सकते हैं. कोई हमलावर, आपके ऐप्लिकेशन के डेटा में बदलाव कर सकता है. ऐसा, डेटा के उपयोगकर्ता के ब्राउज़र पर पहुंचने से पहले किया जा सकता है. इससे साइट पर बदली गई जानकारी दिख सकती है या उपयोगकर्ता को किसी अनचाहे डेस्टिनेशन पर रीडायरेक्ट किया जा सकता है. इसे कभी-कभी मैसेज में बदलाव करना भी कहा जाता है.
पैसिव अटैक
पैसिव अटैक में, हमलावर ऐप्लिकेशन से जानकारी इकट्ठा करने या उसे जानने की कोशिश करता है. हालांकि, इससे ऐप्लिकेशन पर कोई असर नहीं पड़ता.
कल्पना करें कि कोई व्यक्ति आपके दोस्तों और परिवार के साथ की गई बातचीत को सुन रहा है और आपकी निजी ज़िंदगी के बारे में जानकारी इकट्ठा कर रहा है. जैसे, आपके दोस्त कौन हैं और आप कहां घूमने-फिरने जाते हैं. यही काम आपके वेब ट्रैफ़िक के लिए भी किया जा सकता है. कोई हमलावर, ब्राउज़र और सर्वर के बीच के डेटा को कैप्चर कर सकता है. इसमें उपयोगकर्ता नाम और पासवर्ड, उपयोगकर्ताओं का ब्राउज़िंग इतिहास, और शेयर किया गया डेटा शामिल है.
हमलों से बचाव
हमलावर सीधे आपके ऐप्लिकेशन को नुकसान पहुंचा सकते हैं या आपकी साइट पर नुकसान पहुंचाने वाला कोई काम कर सकते हैं. ऐसा तब होता है, जब आप या आपके उपयोगकर्ताओं को इसकी जानकारी न हो. आपको हमलों का पता लगाने और उनसे बचने के लिए, तरीकों की ज़रूरत होती है.
माफ़ करें, आपके ऐप्लिकेशन को 100% सुरक्षित बनाने का कोई एक तरीका नहीं है. आम तौर पर, हमले को रोकने या उसे टालने के लिए, सुरक्षा से जुड़ी कई सुविधाओं और तकनीकों का इस्तेमाल लेयर में किया जाता है. इसे डिफ़ेंस इन डेप्थ कहा जाता है. अगर आपके ऐप्लिकेशन में कोई फ़ॉर्म है, तो ब्राउज़र में इनपुट की जांच की जा सकती है. इसके बाद, सर्वर और आखिर में डेटाबेस में इनपुट की जांच की जा सकती है. साथ ही, ट्रांज़िट में डेटा को सुरक्षित रखने के लिए, एचटीटीपीएस का भी इस्तेमाल किया जा सकता है.
आखिर में खास जानकारी
कई हमले, आपके सर्वर पर असर डाले बिना भी हो सकते हैं. इसलिए, कभी-कभी यह पता लगाना मुश्किल हो जाता है कि हमले हो रहे हैं या नहीं. अच्छी बात यह है कि वेब ब्राउज़र में पहले से ही सुरक्षा से जुड़ी बेहतर सुविधाएं मौजूद होती हैं. ज़्यादा जानने के लिए, अगला विषय पढ़ें "ब्राउज़र, हमलों को कैसे कम करता है".