قد يُعرّض التطبيق غير الآمن المستخدمين والأنظمة لأنواع مختلفة من الضرر. عندما تستخدم إحدى الجهات الضارة ثغرات أمنية أو نقص ميزات الأمان لصالحها لإحداث الضرر، يسمى ذلك بالهجوم. سنلقي نظرة على الأنواع المختلفة من الهجمات في هذا الدليل حتى تعرف ما الذي تبحث عنه عند تأمين تطبيقك.
الهجمات النشطة مقابل الهجمات السلبية
يمكن تقسيم الهجمات إلى نوعَين مختلفَين: النشطة وغير النشطة.
هجمات نشطة
باستخدام هجوم نشط، يحاول المهاجم اختراق التطبيق مباشرةً. هناك العديد من الطرق التي يمكن أن يتم ذلك بها، بدءًا من استخدام هوية مزورة للوصول إلى البيانات الحساسة (هجوم التنكّر) ووصولاً إلى ملء الخادم بكميات هائلة من حركة البيانات لجعل تطبيقك غير مستجيب (هجمة حجب الخدمة).
يمكن أيضًا تنفيذ الهجمات النشطة على البيانات التي يتم نقلها. ويمكن للمهاجم تعديل بيانات تطبيقك قبل وصولها إلى متصفّح المستخدم، ما يؤدي إلى عرض المعلومات المعدَّلة على الموقع الإلكتروني أو توجيه المستخدم إلى وجهة غير مقصودة. ويُسمى ذلك أحيانًا تعديل الرسائل.
هجوم سلبي
باستخدام الهجوم السلبي، يحاول المهاجم جمع المعلومات أو تعلمها من التطبيق ولكنه لا يؤثر على التطبيق نفسه.
تخيل أن شخصًا ما يتجسس على محادثتك مع أصدقائك وعائلتك، ويجمع معلومات عن حياتك الشخصية، ومن هم أصدقاؤك، وأماكن قضاء الوقت. يمكن تطبيق الشيء نفسه على زيارات الويب. ويمكن لأي مهاجم التقاط البيانات بين المتصفح والخادم الذي يجمع أسماء المستخدمين وكلمات المرور وسجلّ تصفّح المستخدمين والبيانات التي يتم تبادلها.
الدفاع ضد الهجمات
يمكن للمهاجمين إلحاق الضرر بتطبيقك مباشرةً أو تنفيذ عملية ضارة على موقعك الإلكتروني بدون أن تلاحظ ذلك أنت أو المستخدمين. أنت بحاجة إلى آليات للكشف عن الهجمات والحماية منها.
وليس هناك حل واحد يضمن أمان تطبيقك بنسبة 100%. ومن الناحية العملية، يتم استخدام العديد من الميزات والتقنيات الأمنية ضمن الطبقات لمنع الهجوم أو تأخيره (يُعرف ذلك باسم الدفاع المعمّق). إذا كان تطبيقك يحتوي على نموذج، يمكنك التحقق من الإدخالات في المتصفح، ثم على الخادم، وأخيرًا في قاعدة البيانات. ويمكنك أيضًا استخدام HTTPS لتأمين البيانات أثناء نقلها.
الخاتمة
وبما أنّ العديد من الهجمات يمكن أن تحدث بدون التعرض للهجمات على خادمك، يَصعُب أحيانًا التحقُّق مما إذا كانت الهجمات قد حدثت أم لا. والخبر السار هو أن متصفحات الويب تحتوي على ميزات أمان قوية مدمجة مسبقًا. يُرجى متابعة الموضوع التالي "كيف يحدّ المتصفّح من الهجمات" لمعرفة المزيد.