Небезопасное приложение может подвергнуть пользователей и системы различным типам ущерба. Когда злоумышленник использует уязвимости или отсутствие функций безопасности в своих интересах, чтобы нанести ущерб, это называется атакой . В этом руководстве мы рассмотрим различные типы атак, чтобы вы знали, на что обращать внимание при защите вашего приложения.
Активные атаки против пассивных атак
Атаки можно разделить на два типа: активные и пассивные.
Активные атаки
При активной атаке злоумышленник пытается напрямую проникнуть в приложение. Это можно сделать разными способами: от использования ложного удостоверения для доступа к конфиденциальным данным (маскарадная атака) до переполнения вашего сервера огромными объемами трафика, в результате чего ваше приложение перестает отвечать на запросы (атака типа «отказ в обслуживании»).
Активные атаки также могут быть осуществлены в отношении передаваемых данных. Злоумышленник может изменить данные вашего приложения до того, как они попадут в браузер пользователя, отобразив измененную информацию на сайте или направив пользователя в непредусмотренное место назначения. Иногда это называют модификацией сообщений .
Пассивная атака
При пассивной атаке злоумышленник пытается собрать или изучить информацию из приложения, но не влияет на само приложение.
Представьте, что кто-то подслушивает ваш разговор с друзьями и семьей, собирает информацию о вашей личной жизни, кто ваши друзья и где вы тусуетесь. То же самое можно сделать и с вашим веб-трафиком. Злоумышленник может перехватить данные между браузером и сервером, собирая имена пользователей и пароли, историю просмотров пользователей и данные, которыми они обмениваются.
Защита от атак
Злоумышленники могут нанести непосредственный вред вашему приложению или выполнить вредоносную операцию на вашем сайте незаметно для вас или ваших пользователей. Вам нужны механизмы для обнаружения и защиты от атак.
К сожалению, не существует единого решения, позволяющего сделать ваше приложение на 100% безопасным. На практике многие функции и методы безопасности используются послойно, чтобы предотвратить или еще больше задержать атаку (это называется глубокоэшелонированной защитой ). Если ваше приложение содержит форму, вы можете проверять вводимые данные в браузере, затем на сервере и, наконец, в базе данных; вы также можете использовать HTTPS для защиты передаваемых данных.
Заворачивать
Поскольку многие атаки могут произойти, даже не задев ваш сервер, иногда трудно определить, происходят атаки или нет. Хорошей новостью является то, что в веб-браузеры уже встроены мощные функции безопасности. Чтобы узнать больше, прочтите следующий раздел «Как браузер защищает от атак».