אפליקציה לא מאובטחת עלולה לחשוף משתמשים ומערכות לסוגים שונים של נזק. כאשר גורם זדוני משתמש בנקודות חולשה או בהיעדר תכונות אבטחה לתועלתם כדי לגרום נזק, הפעולה נקראת התקפה. ניקח פירוט של סוגים שונים של מתקפות במדריך הזה, כדי שתדעו מה לחפש כשמאבטחים את האפליקציה.
התקפות אקטיביות לעומת התקפות פסיבית
ניתן לחלק את ההתקפות לשני סוגים שונים: התקפות אקטיביות ופסיבית.
התקפות פעילות
באמצעות מתקפה פעילה,התוקף מנסה לפרוץ לאפליקציה ישירות. יש כל מיני דרכים לעשות זאת, החל משימוש זהות לצורך גישה למידע אישי רגיש (התקפת אנונימיזציה) לצורך הצפת השרת עם כמויות עצומות של תנועה באופן שיגרום לאפליקציה שלך להגיב (הכחשה של התקפה על שירות).
ניתן לבצע התקפות פעילות גם על נתונים במעבר. תוקף יכול לשנות לפני שהם מגיעים לדפדפן של המשתמש, מוצגים בהם שינויים מידע באתר או להפנות את המשתמש ליעד לא מכוון. הדבר לפעמים נקרא שינוי הודעות.
מתקפה פסיבית
באמצעות מתקפה פסיבית, התוקף מנסה לאסוף או ללמוד מידע מהאפליקציה, אבל הוא לא משפיע על האפליקציה עצמה.
נניח שמישהו מצתה לשיחה שלכם עם חברים ובני משפחה, איסוף מידע על החיים האישיים שלך, מי החברים שלך ואיפה מבלים ביחד. אותו הדבר יכול להיות לגבי תנועת הגולשים באינטרנט. תוקף יוכל לתעד נתונים בין הדפדפן לשרת שאוסף שמות משתמש סיסמאות, משתמשים היסטוריית הגלישה והנתונים שנשלחו.
הגנה מפני מתקפות
תוקפים יכולים להזיק ישירות לאפליקציה שלך או לבצע פעולה זדונית מבלי שתבחינו בו או שהמשתמשים שלכם יראו אותו. צריך מנגנונים כדי לזהות ולהגן מפני מתקפות.
לצערנו, אין פתרון אחד שמבטיח שהיישום שלכם יהיה מאובטח ב-100%. בפועל, תכונות אבטחה ושיטות אבטחה רבות משמשות בשכבות כדי למנוע או לעכב את ההתקפה (תהליך כזה נקרא הגנה לעומק). אם מכיל טופס, אפשר לבדוק את נתוני הקלט בדפדפן, ואז בשרת, ולבסוף במסד הנתונים; תצטרכו להשתמש גם ב-HTTPS כדי לאבטח את הנתונים בהובלה.
סיכום
הרבה מתקפות יכולות להתרחש בלי לפגוע בשרת, לכן לפעמים קשה לזהות אם מתרחשות התקפות או לא. החדשות הטובות הן שהאינטרנט לדפדפנים יש תכונות אבטחה מתקדמות שכבר מובנות. מעקב אחר הנושא הבא "איך הדפדפן מצמצם את הסיכון למתקפות" למידע נוסף.