不安全的应用可能会给用户和系统带来各种类型的损害。如果某恶意方利用漏洞或缺乏安全功能对其造成破坏,这种行为就称为攻击。我们将在本指南中了解不同类型的攻击,以便您知道在保护应用安全时应注意什么。
主动攻击与被动攻击
攻击可分为两种不同的类型:主动攻击和被动攻击。
主动攻击
通过主动攻击,攻击者会尝试直接入侵应用。有多种方法可以实现这一目的,从使用虚假身份访问敏感数据(伪装攻击),到海量流量使服务器被淹没,使应用无响应(拒绝服务攻击)。
也可以对传输中的数据进行主动攻击。攻击者可能会在您的应用数据到达用户浏览器之前对其进行修改,显示网站上经过修改的信息,或将用户定向到意外的目的地。这有时称为“消息修改”。
被动攻击
采用被动攻击时,攻击者会尝试从应用中收集或获取信息,但不会影响应用本身。
想象一下,有人正在窃听您与朋友和家人的对话,收集有关您的私生活的信息、朋友是谁,以及您经常在哪儿。您也可对网络流量执行同样的操作。攻击者可以在浏览器与服务器之间捕获数据,用于收集用户名和密码、用户的浏览记录以及交换的数据。
防御攻击
攻击者可能会在您或您的用户未注意的情况下,直接损害您的应用或在您的网站上执行恶意操作。您需要一些机制来检测和防范攻击。
遗憾的是,没有哪一种解决方案可以确保您的应用 100% 安全。在实践中,许多安全功能和技术会分层使用,以防止或进一步延迟攻击(称为“深度防御”)。如果您的应用包含表单,您可以检查浏览器中的输入,然后检查服务器,最后检查数据库中的输入;您还可以使用 HTTPS 来保护传输中的数据。
小结
由于许多攻击无需攻击服务器即可发生,因此有时很难检测攻击是否发生。好消息是,网络浏览器已经内置了强大的安全功能。如需了解详情,请参阅下一主题“浏览器如何缓解攻击”。