Niezabezpieczona aplikacja może narazić użytkowników i systemy na różne rodzaje szkód. Gdy ktoś wykorzystuje luki w zabezpieczeniach lub brak funkcji zabezpieczeń, aby wyrządzić szkody, nazywamy to atakem. W tym przewodniku przyjrzymy się różnym typom ataków, dzięki czemu będziesz wiedzieć, na co zwrócić uwagę podczas zabezpieczania aplikacji.
Ataki aktywne i pasywne
Ataki można podzielić na 2 rodzaje: aktywne i pasywne.
Aktywne ataki
W przypadku aktywnego ataku osoba przeprowadzająca atak próbuje bezpośrednio włamać się do aplikacji. Istnieje wiele sposobów na to: od wykorzystania fałszywej tożsamości do uzyskania dostępu do danych wrażliwych (atak maskowany) po zalanie serwera ogromnymi ilościami ruchu, który sprawi, że aplikacja przestanie reagować (atak typu DoS).
Aktywne ataki mogą być także stosowane na dane przesyłane w ruchu. Osoba przeprowadzająca atak może zmodyfikować dane aplikacji, zanim trafią one do przeglądarki użytkownika, wyświetlając zmodyfikowane informacje w witrynie lub kierując użytkownika do niezamierzonego miejsca docelowego. Czasami jest to nazywane modyfikacją wiadomości.
Atak pasywny
W przypadku ataku pasywnego osoba przeprowadzająca atak próbuje zebrać informacje z aplikacji lub uzyskać z niej informacje, ale nie ma wpływu na samą aplikację.
Wyobraź sobie, że ktoś podsłuchuje Twoją rozmowę z przyjaciółmi i rodziną, zbiera informacje o Twoim życiu osobistym, kim są Twoi znajomi i gdzie spędzasz czas. To samo możesz zrobić w przypadku ruchu w witrynie. Osoba przeprowadzająca atak może przechwycić dane między przeglądarką a serwerem, zbierając nazwy użytkowników i hasła, historię przeglądania i wymieniane dane.
Obrona przed atakami
Osoby przeprowadzające atak mogą bezpośrednio wyrządzić szkody w Twojej aplikacji lub wykonać w witrynie szkodliwe działania bez zauważenia tego przez Ciebie lub użytkowników. Potrzebujemy mechanizmów wykrywania ataków i ochrony przed nimi.
Niestety nie ma jednego rozwiązania, które zapewniłoby pełną ochronę Twojej aplikacji. W praktyce stosuje się liczne zabezpieczenia i techniki, które zapobiegają atakowi lub je opóźniają (tzw. głębokość obrony). Jeśli aplikacja zawiera formularz, sprawdź dane wejściowe w przeglądarce, potem na serwerze i w bazie danych. Za pomocą protokołu HTTPS warto też zabezpieczyć dane w ruchu.
Podsumowanie
Wiele ataków może wystąpić bez trafienia na serwer, więc czasami trudno jest określić, czy ataki występują, czy nie. Dobra wiadomość jest taka, że przeglądarki mają już wbudowane zaawansowane funkcje zabezpieczeń. Aby dowiedzieć się więcej, przejdź do następnego tematu „Jak przeglądarka chroni przed atakami”.