Eine unsichere Anwendung kann Nutzer und Systeme verschiedenen Arten von Schäden aussetzen. Wenn eine böswillige Partei Sicherheitslücken oder fehlende Sicherheitsfunktionen zu ihrem Vorteil nutzt, um Schäden zu verursachen, wird dies als Angriff bezeichnet. In diesem Leitfaden werden die verschiedenen Angriffsarten beschrieben, damit Sie wissen, worauf Sie beim Sichern Ihrer Anwendung achten müssen.
Aktive Angriffe im Vergleich zu passiven Angriffen
Angriffe können in zwei verschiedene Arten unterteilt werden: aktive und passive Angriffe.
Aktive Angriffe
Bei einem aktiven Angriff versucht der Angreifer,direkt in die Anwendung einzudringen. Es gibt verschiedene Möglichkeiten, dies zu tun. Sie können beispielsweise eine falsche Identität verwenden, um auf sensible Daten zuzugreifen (Masquerade-Angriff), oder Ihren Server mit enormem Traffic überfluten, damit Ihre Anwendung nicht mehr reagiert (Denial-of-Service-Angriff).
Aktive Angriffe können auch auf Daten ausgeführt werden, die übertragen werden. Ein Angreifer könnte Ihre Anwendungsdaten ändern, bevor sie den Browser eines Nutzers erreichen, indem er geänderte Informationen auf der Website anzeigt oder den Nutzer zu einem unbeabsichtigten Ziel weiterleitet. Dies wird manchmal als Änderung von Nachrichten bezeichnet.
Passiver Angriff
Bei einem passiven Angriff versucht der Angreifer, Informationen aus der Anwendung zu erfassen oder von ihr zu erfahren, hat jedoch keine Auswirkungen auf die Anwendung selbst.
Stellen Sie sich vor, jemand hört bei Ihrer Unterhaltung mit Freunden und Familie zu und sammelt Informationen über Ihr Privatleben, wer Ihre Freunde sind und wo Sie Ihre Freizeit verbringen. Dasselbe können Sie für Ihre Webzugriffe tun. Ein Angreifer könnte Daten zwischen dem Browser und dem Server erfassen, die Nutzernamen und Passwörter, den Browserverlauf von Nutzern und ausgetauschte Daten erfassen.
Schutz vor Angriffen
Angreifer können Ihrer Anwendung direkt Schaden zufügen oder auf Ihrer Website schädliche Aktionen ausführen, ohne dass Sie oder Ihre Nutzer davon bemerken. Sie benötigen Mechanismen, um Angriffe zu erkennen und zu verhindern.
Leider gibt es keine einzelne Lösung, um Ihre Anwendung zu 100% sicher zu machen. In der Praxis werden viele Sicherheitsfunktionen und -techniken auf verschiedenen Ebenen verwendet, um Angriffe zu verhindern oder weiter zu verzögern (dies wird als gestaffelte Sicherheitsebenen bezeichnet). Wenn Ihre Anwendung ein Formular enthält, können Sie Eingaben im Browser, auf dem Server und schließlich in der Datenbank prüfen. Außerdem würden Sie HTTPS verwenden, um die Daten bei der Übertragung zu sichern.
Zusammenfassung
Da viele Angriffe passieren können, ohne Ihren Server zu erreichen, ist es manchmal schwer zu erkennen, ob es sich um Angriffe handelt oder nicht. Die gute Nachricht ist, dass Webbrowser über leistungsstarke Sicherheitsfunktionen verfügen. Im nächsten Thema erfahren Sie mehr darüber.