Une application non sécurisée peut exposer les utilisateurs et les systèmes à différents types de les dommages. Lorsqu'un tiers malveillant utilise des failles ou l'absence de fonctionnalités de sécurité à leur avantage pour causer des dégâts, on parle d'attaque. Nous allons voir consultez les différents types d'attaques présentés dans ce guide afin de savoir ce qu'il faut rechercher lors de la sécurisation de votre application.
Attaques actives ou attaques passives
Il existe deux types d'attaques: actives et passives.
Attaques actives
Avec une attaque active,le pirate informatique tente de s'introduire dans l'application directement. Il existe plusieurs façons d'y parvenir, comme l'utilisation d'un faux d'accéder à des données sensibles (attaque masquée) pour inonder votre serveur générant un trafic massif pour que votre application ne réponde plus attaque de service).
Des attaques actives peuvent également être lancées contre les données en transit. Un attaquant pourrait modifier vos données d'application avant qu'elles n'arrivent dans le navigateur de l'utilisateur, affichant les modifications des informations sur le site ou diriger l'utilisateur vers une destination non désirée. C'est parfois appelée modification de messages.
Attaque passive
Avec une attaque passive, le pirate informatique tente de collecter ou d'apprendre des informations de l'application, mais n'affecte pas l'application elle-même.
Imaginez que quelqu'un écoute votre conversation avec vos amis et votre famille, en collectant des informations sur votre vie personnelle, sur qui sont vos amis et où lorsque vous passez du temps ensemble. La même chose pourrait être faite pour votre trafic Web. Un pirate informatique pourrait capturer des données entre le navigateur et le serveur collectant les noms d'utilisateur ; mots de passe, les mots de passe l'historique de navigation et les données échangées.
Défense contre les attaques
Des pirates informatiques peuvent directement nuire à votre application ou effectuer une opération malveillante sur votre site sans que vous ou les utilisateurs ne s'en aperçoivent. Vous avez besoin de mécanismes pour détecter et à vous protéger contre les attaques.
Malheureusement, il n'existe pas de solution unique pour sécuriser votre application à 100 %. En pratique, de nombreuses fonctionnalités et techniques de sécurité sont utilisées sous forme de couches pour empêcher ou retarder l'attaque (c'est ce qu'on appelle la défense en profondeur). Si votre application contient un formulaire, vérifiez les entrées dans le navigateur, puis sur au serveur, et enfin à la base de données ; vous devez également utiliser HTTPS pour sécuriser les données en transit.
Conclusion
Étant donné que de nombreuses attaques peuvent se produire sans jamais atteindre votre serveur, il est parfois difficile de détecter si des attaques se produisent ou non. La bonne nouvelle, c'est que le Web navigateurs intègrent déjà des fonctionnalités de sécurité puissantes. Suivre le thème suivant "Comment le navigateur protège-t-il contre les attaques ?" pour en savoir plus.