Aplikasi yang tidak aman dapat membuat pengguna dan sistem terkena berbagai jenis kerusakan. Saat pihak berbahaya menggunakan kerentanan atau kurangnya fitur keamanan untuk memanfaatkan keunggulan mereka untuk menyebabkan kerusakan, hal ini disebut serangan. Kita akan melihat berbagai jenis serangan dalam panduan ini agar Anda tahu apa yang harus diperhatikan saat mengamankan aplikasi.
Serangan aktif vs serangan pasif
Serangan dapat dibagi menjadi dua jenis: aktif dan pasif.
Serangan aktif
Dengan serangan aktif,penyerang akan mencoba membobol aplikasi secara langsung. Ada berbagai cara untuk melakukan hal ini, mulai dari menggunakan identitas palsu untuk mengakses data sensitif (serangan penyamaran) hingga membanjiri server dengan traffic dalam jumlah besar hingga membuat aplikasi Anda tidak responsif (serangan penolakan layanan).
Serangan aktif juga dapat dilakukan pada data dalam pengiriman. Penyerang dapat mengubah data aplikasi sebelum sampai ke browser pengguna, menampilkan informasi yang dimodifikasi di situs, atau mengarahkan pengguna ke tujuan yang tidak diinginkan. Hal ini terkadang disebut modifikasi pesan.
Serangan pasif
Dengan serangan pasif, penyerang mencoba mengumpulkan atau mempelajari informasi dari aplikasi, tetapi tidak memengaruhi aplikasi itu sendiri.
Bayangkan seseorang sedang menyadap percakapan Anda dengan teman dan keluarga, mengumpulkan informasi tentang kehidupan pribadi Anda, siapa teman Anda, dan di mana Anda berkumpul. Hal yang sama dapat dilakukan pada traffic web Anda. Penyerang dapat mengambil data antara browser dan server untuk mengumpulkan nama pengguna & sandi, histori penjelajahan pengguna, dan pertukaran data.
Pertahanan terhadap serangan
Penyerang dapat secara langsung membahayakan aplikasi Anda atau melakukan operasi berbahaya di situs Anda tanpa diketahui oleh Anda atau pengguna. Anda memerlukan mekanisme untuk mendeteksi dan melindungi jaringan dari serangan.
Sayangnya, tidak ada solusi tunggal untuk membuat aplikasi Anda 100% aman. Dalam praktiknya, banyak fitur dan teknik keamanan digunakan secara berlapis untuk mencegah atau menunda serangan lebih lanjut (hal ini disebut defense in depth). Jika aplikasi Anda berisi formulir, Anda dapat memeriksa input di browser, lalu di server, dan terakhir di database. Anda juga harus menggunakan HTTPS untuk mengamankan data dalam pengiriman.
Penutup
Karena banyak serangan dapat terjadi tanpa pernah mengenai server Anda, terkadang sulit untuk mendeteksi apakah serangan terjadi atau tidak. Kabar baiknya adalah bahwa {i>browser<i} web memiliki fitur keamanan yang canggih di dalamnya. Ikuti topik berikutnya "Cara browser memitigasi serangan" untuk mempelajari lebih lanjut.