什么是安全攻击?

什么是安全攻击?

不安全的应用程序可能会使用户和系统遭受各种类型的损害。当恶意方利用漏洞或缺乏安全功能的优势来造成损害时,这称为攻击。我们将在本指南中介绍不同类型的攻击,以便你了解保护应用程序时要寻找的内容。

主动攻击 VS 被动攻击

攻击可分为两种:主动和被动。

主动攻击

通过主动攻击,攻击者尝试直接闯入应用程序。可以采用多种方法,从使用错误的身份访问敏感数据(冒充攻击)到向服务器充斥大量流量以使应用程序无响应(拒绝服务攻击)。

还可以对传输中的数据进行主动攻击。攻击者可能在你的应用程序数据到达用户的浏览器之前对其进行了修改,从而在网站上显示已修改的信息,或将用户定向到意外的目的地。这有时称为消息修改

网站遭到攻击者的篡改,将用户引导至钓鱼网站。

你是否曾经登录过免费的公共 wifi 并看到正在访问的网页周围包裹着广告?这就是对数据的篡改!wifi 接入点将广告投放到网站上,然后才进入你的浏览器。在许多情况下,你可能会将其视为 “仅是免费 wifi 的广告”,但请想象一下,是否使用相同的技术替换某些 JavaScript 或链接到网络钓鱼网站。攻击者可能会利用你的网站来误导用户,而不会引起你的注意。

被动攻击

通过被动攻击,攻击者尝试从应用程序收集或学习信息,但不会影响应用程序本身。

想象一下有人在窃听你与朋友和家人的对话,收集有关你的个人生活,你的朋友是谁以及你在哪里闲逛的信息。可以对你的网络流量执行相同的操作。攻击者可能会在浏览器和服务器之间捕获数据,从而收集用户名和密码,用户的浏览历史记录以及交换的数据。

攻击者窃听用户与服务器之间的通信。

攻击防范

攻击者可以直接损害你的应用程序或在你的网站上执行恶意操作,而无需你或你的用户注意。你需要机制来检测和防御攻击。

不幸的是,没有单一的解决方案可以使你的应用程序 100%安全。实际上,在层中使用了许多安全功能和技术来防止或进一步延迟攻击(这称为 “深度防御”)。如果你的应用程序包含表单,则可以在浏览器中检查输入,然后在服务器上检查输入,最后在数据库中检查;你还可以使用 HTTPS 保护传输中的数据。

总结

由于可以在没有攻击服务器的情况下发生许多攻击,因此有时很难检测是否正在发生攻击。好消息是 Web 浏览器已经内置了强大的安全功能。