什麼是安全性攻擊?

Mariko Kosaka

不安全的應用程式可能會讓使用者和系統暴露在各種類型的威脅中 造成傷害。惡意人士使用安全漏洞或缺乏安全性功能時 這種攻擊方式稱為攻擊。我們可以 介紹各種攻擊類型,您才知道該將如何偵測 必須確保應用程式安全無虞

主動攻擊與被動攻擊

攻擊可分為兩種:主動式與被動式。

現有攻擊

攻擊者會透過「主動攻擊」,嘗試侵入應用程式 有幾種方法可以達到這個目的,像是使用 false 身分存取機密資料 (偽裝攻擊) 以使您的伺服器流入 造成應用程式無法回應 服務攻擊)。

流動資料也可能會對傳輸中的資料進行主動攻擊。攻擊者可能會修改 您的應用程式資料,在資料送達使用者的瀏覽器之前 或將使用者引導至非預期的目的地。這是 有時也稱為「修改訊息」

修改訊息
網站遭攻擊者竄改,藉此引導使用者前往網路釣魚網站。

被動攻擊

透過被動攻擊,攻擊者會嘗試收集或學習資訊 但不會影響應用程式本身。

被動攻擊
攻擊者竊取使用者和伺服器之間的通訊。

想像一下,有人竊聽你和親朋好友的對話 收集您個人生活、朋友的身分與在何處 。您的網站流量也可以做同樣的動作。攻擊者 即可在收集使用者名稱的 使用者瀏覽記錄和資料交換資料

防禦攻擊

攻擊者可以直接傷害您的應用程式,或在 並不知道你或你的使用者會發現該網站您需要使用機制來偵測 並防範攻擊

可惜的是,沒有任何一種方法能使應用程式安全無虞, 實務上,有許多安全功能和技術都會採用分層式結構來防止 或延長攻擊時間 (這稱為縱深防禦)。如果您的 應用程式含有表單,您可以在瀏覽器中檢查輸入,然後 最後到資料庫要用 HTTPS 確保 傳輸中。

總結

許多攻擊可能在完全未連上您的伺服器的情況下發生,因此有時候 也難以偵測是否發生攻擊值得慶幸的是 瀏覽器內建強大的安全防護功能,追蹤下一個主題 「瀏覽器如何降低攻擊的風險」。