אפליקציה לא מאובטחת עלולה לחשוף משתמשים ומערכות לסוגים שונים של נזק. כשגורם זדוני משתמש בנקודות חולשה או בהיעדר תכונות אבטחה לתועלתו כדי לגרום נזק, הפעולה הזו נקראת מתקפה. נבחן את הסוגים השונים של התקפות במדריך הזה, כדי לעזור לכם להבין מה צריך לחפש בזמן אבטחת האפליקציה.
התקפות פעילות לעומת התקפות פסיביות
ניתן לחלק את ההתקפות לשני סוגים שונים: אקטיבית ופסיבית.
התקפות פעילות
באמצעות מתקפה פעילה,התוקף מנסה לפרוץ לאפליקציה ישירות. יש מגוון דרכים לעשות זאת, החל משימוש בזהות בדויה כדי לגשת למידע רגיש (התקפת אנונימיזציה) ועד הצפת השרת בכמויות עצומות של תעבורת נתונים כדי לגרום לאפליקציה להגיב (התקפת מניעת שירות).
ניתן לבצע התקפות פעילות על נתונים במעבר. תוקף עלול לשנות את נתוני האפליקציה לפני שהם מגיעים לדפדפן של המשתמש, להציג מידע שהשתנה באתר או להפנות את המשתמשים ליעד לא מכוון. לפעמים התהליך הזה נקרא שינוי הודעות.
מתקפה פסיבית
באמצעות מתקפה פסיבית, התוקף מנסה לאסוף מידע מהאפליקציה או ללמוד ממנו, אבל לא משפיע על האפליקציה עצמה.
נניח שמישהו צוטט לשיחה שלך עם חברים ומשפחה, אוסף מידע על החיים האישיים שלך, מי הם החברים שלך והיכן אתה מבלה. ניתן לעשות את אותו הדבר גם בתנועת הגולשים באינטרנט. תוקף עלול לתעד נתונים בין הדפדפן לשרת, שאוסף שמות משתמש וסיסמאות, היסטוריית גלישה של משתמשים ונתונים שהועברו.
הגנה מפני התקפות
תוקפים יכולים לפגוע ישירות באפליקציה או לבצע פעולה זדונית באתר, בלי שאתם או המשתמשים שלכם תבחינו בכך. אתם צריכים מנגנונים לזיהוי התקפות ולהגנה מפניהן.
לצערנו, אין פתרון אחד שיהפוך את האפליקציה שלכם למאובטחת ב-100%. בפועל, הרבה שיטות ופיצ'רים של אבטחה משמשים בשכבות על מנת למנוע או לעכב את המתקפה (נקרא הגנה לעומק). אם האפליקציה מכילה טופס, אפשר לבדוק את הקלט בדפדפן, לאחר מכן בשרת ולבסוף במסד הנתונים. כדאי להשתמש גם ב-HTTPS כדי לאבטח את הנתונים במעבר.
סיכום
מכיוון שהרבה התקפות יכולות להתרחש בלי לפגוע בשרת, לפעמים קשה לזהות אם הן מתרחשות או לא. החדשות הטובות הן שבדפדפני האינטרנט יש תכונות אבטחה חזקות שכבר מובנות. למידע נוסף, עקבו אחר הנושא הבא "כיצד הדפדפן מצמצם מפני התקפות".