Güvenli olmayan bir uygulama, kullanıcıları ve sistemleri çeşitli zararlara maruz bırakabilir. Kötü niyetli bir taraf, güvenlik açıklarını veya güvenlik özelliklerinin eksikliğini kendi yararına kullanarak zarara neden olduğunda buna saldır adı verilir. Uygulamanızın güvenliğini sağlarken nelere dikkat etmeniz gerektiğini bilmeniz için bu kılavuzda farklı saldırı türlerine göz atacağız.
Aktif saldırılar ve pasif saldırılar
Saldırılar, aktif ve pasif olmak üzere iki farklı türe ayrılabilir.
Aktif saldırılar
Etkin saldırıda saldırgan,doğrudan uygulamaya girmeye çalışır. Bu, hassas verilere erişmek için sahte kimlik kullanmaktan (gizli kimlik saldırısı) uygulamanızı yanıt vermemesi için sunucunuza büyük miktarda trafik doldurmaya (hizmet reddi saldırısı) kadar çeşitli yöntemlerle gerçekleştirilebilir.
Geçiş halindeki verilere de aktif saldırılar uygulanabilir. Bir saldırgan, uygulama verilerinizi kullanıcının tarayıcısına ulaşmadan değiştirerek sitede değiştirilmiş bilgiler gösterebilir veya kullanıcıyı istenmeyen bir hedefe yönlendirebilir. Buna bazen mesajların değiştirilmesi denir.
Pasif saldırı
Pasif saldırıda saldırgan, uygulamadan bilgi toplamaya veya öğrenmeye çalışır ancak uygulamanın kendisini etkilemez.
Birinin aileniz ve arkadaşlarınızla yaptığınız konuşmaya kulak misafiri olduğunu, kişisel yaşamınız, arkadaşlarınızın kimler olduğu ve nerede görüştüğünüz hakkında bilgi topladığını düşünün. Aynı şey web trafiğinizde de yapılabilir. Bir saldırgan, kullanıcı adları ile şifreleri, kullanıcıların tarama geçmişini ve veri alışverişini toplayan kullanıcı ile sunucu arasındaki verileri ele geçirebilir.
Saldırılara karşı savunma
Saldırganlar, siz ya da kullanıcılarınız fark etmeden uygulamanıza doğrudan zarar verebilir veya sitenizde kötü amaçlı işlemler gerçekleştirebilir. Saldırıları algılayacak ve koruyacak mekanizmalara ihtiyacınız var.
Maalesef uygulamanızı% 100 güvenli hale getirecek tek bir çözüm yoktur. Pratikte, saldırıyı önlemek veya daha da geciktirmek için katmanlarda birçok güvenlik özelliği ve tekniği kullanılır (buna derinlemesine savunma denir). Uygulamanız bir form içeriyorsa girişleri tarayıcıda, ardından sunucuda ve son olarak veritabanında kontrol edebilirsiniz. Ayrıca, geçiş hâlindeki verilerin güvenliğini sağlamak için HTTPS kullanabilirsiniz.
Son adım
Birçok saldırı sunucunuza ulaşmadan gerçekleşebileceği için bazen saldırının gerçekleşip gerçekleşmediğini tespit etmek zordur. Neyse ki web tarayıcılarının yerleşik güçlü güvenlik özellikleri vardır. Daha fazla bilgi edinmek için "Tarayıcı saldırılara karşı nasıl önlem alır?" başlıklı sonraki konuyu inceleyin.