असुरक्षित ऐप्लिकेशन से, उपयोगकर्ताओं और सिस्टम को कई तरह के नुकसान हो सकते हैं. जब नुकसान पहुंचाने वाला कोई पक्ष नुकसान पहुंचाने के लिए, जोखिम की आशंकाओं या सुरक्षा से जुड़ी सुविधाओं में कमी का इस्तेमाल करता है, तो उसे हमला कहा जाता है. हम इस गाइड में दिए गए अलग-अलग तरह के हमलों पर एक नज़र डालेंगे, ताकि आप जान सकें कि अपने ऐप्लिकेशन को सुरक्षित करते समय क्या ध्यान रखना चाहिए.
ऐक्टिव अटैक बनाम पैसिव अटैक
हमलों को दो अलग-अलग टाइप में बांटा जा सकता है: ऐक्टिव और पैसिव.
सक्रिय हमले
सक्रिय हमले में हमलावर सीधे ऐप्लिकेशन में घुसने की कोशिश करता है. इसके कई तरीके हो सकते हैं. जैसे, गलत पहचान का इस्तेमाल करके संवेदनशील जानकारी ऐक्सेस करना (मैस्करेड अटैक) या अपने सर्वर को बहुत ज़्यादा ट्रैफ़िक से भर देना, ताकि आपका ऐप्लिकेशन काम न करे (सेवा हमले से इनकार).
ट्रांज़िट स्थिति वाले डेटा पर भी ऐक्टिव हमले किए जा सकते हैं. हमलावर, उपयोगकर्ता के ब्राउज़र पर जाने से पहले ही आपके ऐप्लिकेशन डेटा में बदलाव कर सकता है. वह साइट पर बदलाव की गई जानकारी दिखा सकता है या उपयोगकर्ता को किसी अनचाहे डेस्टिनेशन पर भेज सकता है. इसे कभी-कभी मैसेज में बदलाव भी कहा जाता है.
पैसिव अटैक
पैसिव अटैक का इस्तेमाल करके, हमलावर ऐप्लिकेशन से जानकारी इकट्ठा करने या सीखने की कोशिश करता है, लेकिन ऐप्लिकेशन पर इसका कोई असर नहीं पड़ता.
कल्पना करें कि कोई व्यक्ति दोस्तों और परिवार के साथ आपकी बातचीत को छिपकर पढ़ रहा है, आपकी निजी ज़िंदगी के बारे में जानकारी इकट्ठा कर रहा है, आपके दोस्त कौन हैं, और आप कहां समय बिताते हैं. आपके वेब ट्रैफ़िक पर भी यही काम किया जा सकता है. हमलावर, ब्राउज़र और सर्वर के बीच के उपयोगकर्ता नाम और पासवर्ड, उपयोगकर्ता का ब्राउज़िंग इतिहास, और शेयर किए गए डेटा इकट्ठा करने वाले डेटा को कैप्चर कर सकता है.
हमलों से बचाव
हमलावर, आपको या आपके उपयोगकर्ताओं की सूचना के बिना, आपके ऐप्लिकेशन को सीधे तौर पर नुकसान पहुंचा सकते हैं या आपकी साइट पर नुकसान पहुंचाने वाला काम कर सकते हैं. आपको हमलों का पता लगाने और उनसे सुरक्षित रखने के लिए सिस्टम की ज़रूरत होती है.
माफ़ करें, आपके ऐप्लिकेशन को 100% सुरक्षित बनाने का कोई एक तरीका नहीं है. असल में, हमले को रोकने या आगे बढ़ने में देरी के लिए, सुरक्षा से जुड़ी कई सुविधाओं और तकनीकों का इस्तेमाल लेयर में किया जाता है. इसे गहराई से सुरक्षा कहा जाता है. अगर आपके ऐप्लिकेशन में कोई फ़ॉर्म है, तो ब्राउज़र, फिर सर्वर, और आखिर में डेटाबेस में इनपुट की जांच करें. डेटा को एक जगह से दूसरी जगह भेजने के दौरान भी आपको एचटीटीपीएस का इस्तेमाल करना होगा.
आखिर में खास जानकारी
आपके सर्वर पर हुए बिना भी कई हमले हो सकते हैं, इसलिए कभी-कभी यह पता लगाना मुश्किल होता है कि हमले हो रहे हैं या नहीं. अच्छी बात यह है कि वेब ब्राउज़र में सुरक्षा की बेहतरीन सुविधाएं पहले से मौजूद होती हैं. ज़्यादा जानने के लिए अगला विषय देखें: "ब्राउज़र हमलों को कैसे कम करता है".