不安全的應用程式可能會讓使用者和系統遭受各種損害。當惡意人士利用安全漏洞或缺乏安全性功能,並利用這些漏洞造成損害,就稱為攻擊。我們將在本指南中介紹各種攻擊類型,讓您瞭解在保護應用程式時應注意哪些事項。
主動攻擊與被動攻擊
攻擊可分為兩種:主動攻擊和被動攻擊。
進行中的攻擊
在主動攻擊中,攻擊者會直接嘗試入侵應用程式。這類攻擊有許多不同的形式,包括使用假身分存取機密資料 (偽裝攻擊),或是以大量流量癱瘓伺服器,讓應用程式無法回應 (阻斷服務攻擊)。
傳輸中的資料也可能遭到主動攻擊。攻擊者可能會在應用程式資料傳送到使用者瀏覽器前修改該資料,在網站上顯示經過修改的資訊,或將使用者導向不當目的地。這有時稱為修改訊息。
被動攻擊
在被動攻擊中,攻擊者會嘗試從應用程式收集或瞭解資訊,但不會影響應用程式本身。
試想一下,如果有人偷聽你與親朋好友的對話,蒐集你的私人生活資訊、好友名單和常去的地方,同樣地,您也可以對網站流量採取相同做法。攻擊者可能會在瀏覽器和伺服器之間擷取資料,收集使用者名稱和密碼、使用者的瀏覽記錄,以及交換的資料。
防範攻擊
攻擊者可以直接對您的應用程式造成傷害,或在您的網站上執行惡意操作,而您或使用者都不會察覺。您需要機制來偵測及防範攻擊。
很抱歉,目前沒有任何解決方案能保證應用程式 100% 安全。實際上,我們會在各層中使用許多安全功能和技術,以防範或進一步延緩攻擊 (這稱為「深度防禦」)。如果應用程式包含表單,您可以先在瀏覽器中檢查輸入內容,然後在伺服器上檢查,最後在資料庫中檢查;您也可以使用 HTTPS 保護傳輸中的資料。
總結
許多攻擊可能發生在未觸及伺服器的情況下,因此有時很難偵測攻擊是否發生。好消息是,網路瀏覽器已內建強大的安全防護功能。請參閱下一節「瀏覽器如何減輕攻擊」瞭解詳情。