Una aplicación insegura podría exponer a los usuarios y sistemas a varios tipos de daño. Cuando una parte maliciosa utiliza vulnerabilidades o falta de funciones de seguridad a su favor para causar daño, lo que se denomina un ataque. Analizaremos los diferentes tipos de ataques en esta guía para saber qué debes buscar cuando protejas tu aplicación.
Ataques activos versus ataques pasivos
Los ataques se pueden dividir en dos tipos diferentes: activos y pasivos.
Ataques activos
Con un ataque activo, el atacante intenta ingresar a la aplicación directamente. Esto se puede hacer de diversas maneras, desde usar una política para acceder a datos sensibles (ataque de enmascaramiento) para inundar tu servidor con cantidades masivas de tráfico para hacer que tu aplicación no responda (denegación del ataque de servicio).
Los ataques activos también se pueden realizar a los datos en tránsito. Un atacante podría modificar los datos de tu aplicación antes de que lleguen al navegador de un usuario, lo que muestra información en el sitio o dirigir al usuario a un destino no deseado. Este es a veces se denomina modificación de mensajes.
Ataque pasivo
Mediante un ataque pasivo, el atacante intenta recopilar o aprender información. de la aplicación, pero no afecta a la aplicación en sí.
Imagina que alguien está espiando tu conversación con amigos y familiares, recopilar información sobre tu vida personal, quiénes son tus amigos y dónde la reunión. Lo mismo podría hacerse en tu tráfico web. Un atacante podría capturar datos entre el navegador y el servidor recopilando nombres de usuario y las contraseñas, la carga de trabajo el historial de navegación y el intercambio de datos.
Defensa contra ataques
Los atacantes pueden dañar directamente tu aplicación o realizar una operación maliciosa en sin que tú ni los usuarios lo noten. Necesitas mecanismos para detectar y protegerte de los ataques.
Lamentablemente, no existe una solución única para que tu aplicación sea 100% segura. En la práctica, muchas funciones y técnicas de seguridad se usan en capas para evitar o retrasarlo aún más (esto se denomina defensa en profundidad). Si el contiene un formulario, puedes comprobar las entradas en el navegador y, luego, en servidor y, por último, en la base de datos; también usarás HTTPS para proteger los datos en tránsito.
Conclusión
Debido a que muchos ataques pueden ocurrir sin que nunca afecte a tu servidor, a veces es difícil detectar si ocurren ataques o no. La buena noticia es que la Web navegadores cuentan con potentes funciones de seguridad integradas. Seguir el siguiente tema "Cómo mitiga el navegador contra los ataques" para obtener más información.