หน้านี้ได้รับการแปลโดย Cloud Translation API

การโจมตีระบบความปลอดภัยคืออะไร

มาริโกะ โคซากะ

แอปพลิเคชันที่ไม่ปลอดภัยอาจทำให้ผู้ใช้และระบบได้รับความเสียหายหลายประเภท เมื่อผู้ที่ไม่ประสงค์ดีใช้ช่องโหว่หรือขาดฟีเจอร์ด้านความปลอดภัยในการแสวงหาประโยชน์เพื่อก่อให้เกิดความเสียหาย จะเรียกว่าการโจมตี เราจะดูการโจมตีประเภทต่างๆ ในคู่มือนี้เพื่อให้คุณทราบสิ่งที่ต้องพิจารณาเมื่อรักษาความปลอดภัยของแอปพลิเคชัน

การโจมตีที่ดำเนินการอยู่กับการโจมตีแบบแพสซีฟ

การโจมตีแบ่งออกเป็น 2 ประเภท ได้แก่ แอ็กทีฟและแพสซีฟ

การโจมตีที่เกิดขึ้น

เมื่อใช้การโจมตีอย่างต่อเนื่อง ผู้โจมตีจะพยายามเจาะระบบแอปพลิเคชันโดยตรง ซึ่งทำได้หลายวิธี ตั้งแต่การใช้ข้อมูลประจำตัวปลอมเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน (การอำพรางการโจมตี) ไปจนถึงการทำให้เซิร์ฟเวอร์ของคุณมีการเข้าชมเป็นจำนวนมากเพื่อทำให้แอปพลิเคชันไม่ตอบสนอง (การโจมตีแบบปฏิเสธการให้บริการ)

การโจมตีข้อมูลที่อยู่ระหว่างการส่งก็เกิดขึ้นได้เช่นกัน ผู้โจมตีอาจแก้ไขข้อมูลแอปพลิเคชันของคุณก่อนที่จะไปถึงเบราว์เซอร์ของผู้ใช้ โดยแสดงข้อมูลที่แก้ไขแล้วในเว็บไซต์ หรือนำผู้ใช้ไปยังปลายทางที่ไม่ต้องการ ซึ่งบางครั้งเรียกว่าการแก้ไขข้อความ

หมายเหตุ: คุณเคยเข้าสู่ระบบ Wi-Fi สาธารณะฟรีแล้วเห็นโฆษณาซึ่งแสดงอยู่บนหน้าเว็บที่คุณกำลังเข้าถึงไหม ซึ่งก็คือการแก้ไขข้อความนั่นเอง จุดเข้าใช้งาน Wi-Fi แทรกโฆษณาลงในเว็บไซต์ก่อนที่จะไปถึงเบราว์เซอร์ของคุณ ในหลายๆ กรณี คุณอาจปิดข้อความนี้ด้วย "เฉพาะโฆษณาสำหรับ Wi-Fi ฟรี" แต่ลองนึกดูว่าหากมีการใช้เทคนิคเดียวกันนี้ในการแทนที่ JavaScript บางตัวหรือลิงก์ไปยังเว็บไซต์ฟิชชิง ผู้โจมตีอาจใช้เว็บไซต์ของคุณเพื่อนำทางผู้ใช้ในทางที่ผิดโดยที่คุณไม่ต้องสังเกตเห็น

การโจมตีแบบเชิงรับ

ด้วยการโจมตีแบบเชิงรับ ผู้โจมตีจะพยายามเก็บรวบรวมหรือเรียนรู้ข้อมูลจากแอปพลิเคชัน แต่ไม่ส่งผลกระทบต่อแอปพลิเคชัน

ลองนึกภาพว่ามีคนดักฟังการสนทนาของคุณกับเพื่อนและครอบครัว และรวบรวมข้อมูลเกี่ยวกับชีวิตส่วนตัวของคุณ เพื่อนๆ ของคุณ และ สถานที่ที่คุณไปเที่ยว คุณก็สามารถทำได้ในการเข้าชมเว็บของคุณเช่นกัน ผู้โจมตีอาจบันทึกข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์เพื่อรวบรวมชื่อผู้ใช้และรหัสผ่าน ประวัติการท่องเว็บ และข้อมูลที่แลกเปลี่ยนกัน

ป้องกันการโจมตี

ผู้โจมตีอาจเป็นอันตรายต่อแอปพลิเคชันของคุณหรือดำเนินการที่เป็นอันตรายในเว็บไซต์โดยที่คุณหรือผู้ใช้ไม่รู้ตัว คุณต้องมีกลไกในการตรวจจับ และป้องกันการโจมตี

ขออภัย ไม่มีโซลูชันใดโซลูชันหนึ่งที่จะทำให้แอปพลิเคชันของคุณปลอดภัย 100% ในทางปฏิบัติ มีการใช้ฟีเจอร์และเทคนิคด้านความปลอดภัยหลายอย่างในเลเยอร์เพื่อป้องกันหรือหน่วงเวลาการโจมตี (เรียกว่าการป้องกันเชิงลึก) หากแอปพลิเคชันของคุณมีแบบฟอร์ม คุณอาจตรวจสอบอินพุตในเบราว์เซอร์ จากนั้นตรวจสอบในเซิร์ฟเวอร์ และสุดท้ายที่ฐานข้อมูล คุณจะใช้ HTTPS เพื่อรักษาความปลอดภัยของข้อมูลที่อยู่ระหว่างการส่งได้ด้วย

สรุป

เนื่องจากการโจมตีหลายครั้งสามารถเกิดขึ้นได้โดยที่ไม่ได้โจมตีเซิร์ฟเวอร์ของคุณ ในบางครั้งจึงเป็นการยากที่จะตรวจจับได้ว่าการโจมตีเกิดขึ้นหรือไม่ ข่าวดีคือเว็บเบราว์เซอร์ มีฟีเจอร์ความปลอดภัยที่ทรงประสิทธิภาพอยู่ในตัวอยู่แล้ว ติดตามหัวข้อถัดไป "เบราว์เซอร์ลดการโจมตีได้อย่างไร" เพื่อดูข้อมูลเพิ่มเติม