不安全的應用程式可能會向使用者和系統曝露各種類型的損害。如果惡意人士運用安全漏洞或缺乏安全性功能來造成損害,就稱為「攻擊」。本指南將說明各種類型的攻擊,協助您瞭解保障應用程式安全性時應留意的事項。
主動攻擊與被動攻擊
攻擊可分為兩種不同類型:主動式和被動式。
正在進行的攻擊
進行「主動攻擊」時,攻擊者會嘗試直接入侵應用程式。您可以採用多種方式來達成這個目的,包括使用虛假身分存取機密資料 (偽裝攻擊) 或為伺服器大量傳送大量流量,讓應用程式沒有回應 (阻斷服務攻擊)。
進行中的攻擊可能也適用於傳輸中的資料。攻擊者可能會在您的應用程式資料傳送到使用者的瀏覽器前修改資料、在網站上顯示修改的資訊,或將使用者導向非預期的目的地。這有時也稱為「修改訊息」。
被動攻擊
若是「被動攻擊」,攻擊者會嘗試從應用程式收集或學習資訊,但不會影響應用程式本身。
假設有人竊聽與親朋好友的對話,藉此收集有關個人生活、朋友的身分和聚會地點等資訊。同樣的道理也適用於網路流量,攻擊者可以在瀏覽器和伺服器之間擷取使用者名稱和密碼、使用者瀏覽記錄,以及交換的資料。
防禦攻擊
攻擊者可能直接損害您的應用程式,或在使用者不知情的情況下執行惡意作業。您需要相關機制來偵測及防範攻擊。
很遺憾,目前沒有任何解決方案能完全保護您的應用程式。 在實務上,許多安全性功能和技術都會用於分層,以避免或進一步延遲攻擊 (這就是所謂的「深度防禦」)。如果您的應用程式包含表單,您可以檢查瀏覽器輸入、伺服器,最後到資料庫;此外,您也可以使用 HTTPS 來保護傳輸中的資料。
總結
由於許多攻擊可能在未偵測到伺服器的情況下發生,因此有時很難偵測到攻擊是否發生。好消息是網路瀏覽器內建強大的安全防護功能。詳情請參閱下一個主題「瀏覽器如何緩解攻擊」。