Ứng dụng không an toàn có thể khiến người dùng và hệ thống tiếp xúc với nhiều loại thiệt hại. Khi một bên độc hại sử dụng các lỗ hổng bảo mật hoặc thiếu các tính năng bảo mật để lợi dụng và gây thiệt hại, đây được gọi là tấn công. Chúng tôi sẽ thực hiện một hãy xem các loại tấn công khác nhau trong hướng dẫn này để biết những điều cần phát hiện khi bảo mật ứng dụng của bạn.
Tấn công chủ động so với tấn công bị động
Có thể chia cuộc tấn công thành hai loại: chủ động và bị động.
Cuộc tấn công đang diễn ra
Với phương thức tấn công chủ động,kẻ tấn công cố gắng xâm nhập vào ứng dụng trực tiếp. Có nhiều cách để thực hiện việc này, từ việc sử dụng giá trị false danh tính để truy cập dữ liệu nhạy cảm (tấn công giả trang) nhằm làm ngập máy chủ của bạn với số lượng lớn lưu lượng truy cập để làm cho ứng dụng của bạn không phản hồi (từ chối tấn công dịch vụ).
Trong quá trình chuyển dữ liệu, bạn cũng có thể chủ động tấn công dữ liệu. Kẻ tấn công có thể sửa đổi dữ liệu ứng dụng của bạn trước khi truy cập vào trình duyệt của người dùng, hiển thị dữ liệu đã được sửa đổi thông tin trên trang web hoặc hướng người dùng tới đích đến ngoài ý muốn. Đây là đôi khi được gọi là sửa đổi thông báo.
Tấn công bị động
Với hình thức tấn công thụ động, kẻ tấn công cố gắng thu thập hoặc học hỏi thông tin khỏi ứng dụng nhưng không ảnh hưởng đến chính ứng dụng.
Hãy tưởng tượng có ai đó đang nghe trộm cuộc trò chuyện của bạn với bạn bè và gia đình, thu thập thông tin về cuộc sống cá nhân của bạn, bạn bè của bạn là ai và bạn ở đâu bạn đi chơi. Bạn có thể làm điều tương tự với lưu lượng truy cập web của mình. Kẻ tấn công có thể thu thập dữ liệu giữa trình duyệt và máy chủ thu thập tên người dùng & mật khẩu, dữ liệu của người dùng nhật ký duyệt web và dữ liệu đã trao đổi.
Phòng thủ trước các cuộc tấn công
Những kẻ tấn công có thể trực tiếp gây hại cho ứng dụng của bạn hoặc thực hiện một thao tác độc hại trên trang web của bạn mà bạn hoặc người dùng của bạn không nhận ra. Bạn cần có cơ chế để phát hiện và chống lại các cuộc tấn công.
Rất tiếc, không có giải pháp nào giúp cho ứng dụng của bạn an toàn 100%. Trong thực tế, có nhiều tính năng và kỹ thuật bảo mật được dùng trong các lớp để ngăn chặn hoặc trì hoãn cuộc tấn công hơn nữa (hoạt động này được gọi là phòng thủ theo chiều sâu). Nếu có chứa một biểu mẫu, bạn có thể kiểm tra thông tin đầu vào trong trình duyệt, sau đó trên và cuối cùng là cơ sở dữ liệu; bạn cũng sẽ sử dụng HTTPS để bảo mật dữ liệu đang chuyển tuyến.
Tóm tắt
Vì nhiều cuộc tấn công có thể xảy ra mà không cần nhắm đến máy chủ của bạn, nên đôi khi khó có thể phát hiện được cuộc tấn công có đang diễn ra hay không. Tin vui là web các trình duyệt đã tích hợp sẵn các tính năng bảo mật mạnh mẽ. Theo dõi chủ đề tiếp theo "Cách trình duyệt giảm thiểu các cuộc tấn công" để tìm hiểu thêm.