什么是安全攻击?
使用集合保持井井有条 根据您的偏好保存内容并对其进行分类。
不安全的应用程序可能会使用户和系统遭受各种类型的损害。当恶意方利用漏洞或缺乏安全功能来造成损害时,这被称为攻击。在本指南中,我们将了解不同类型的攻击,以便您了解在保护应用程序安全时需要注意什么。
主动攻击与被动攻击
攻击可以分为两种不同的类型:主动攻击和被动攻击。
主动攻击
在主动攻击中,攻击者试图直接闯入应用程序。有很多方法可以做到这一点,从使用虚假身份访问敏感数据(伪装攻击)到用大量流量淹没您的服务器以使您的应用程序无响应(拒绝服务攻击)。
主动攻击也可以针对传输中的数据进行。攻击者可以在您的应用程序数据到达用户浏览器之前对其进行修改,从而在网站上显示修改后的信息或将用户引导到非预期的目的地。这有时被称为消息篡改。
攻击者篡改网站以引导用户访问钓鱼网站。
被动攻击
在被动攻击中,攻击者试图从应用程序中收集或学习信息,但不会影响应用程序本身。
攻击者窃听用户和服务器之间的通信。
想象一下,有人在窃听您与朋友和家人的对话,收集有关您的个人生活、您的朋友是谁以及您在哪里闲逛的信息。同样的事情也可能发生在您的 Web 流量上。攻击者可以捕获浏览器和服务器之间的数据,收集用户名和密码、用户的浏览历史记录以及交换的数据。
防御攻击
攻击者可以直接损害您的应用程序,或者在您或您的用户没有注意到的情况下在您的网站上执行恶意操作。您需要机制来检测和防御攻击。
不幸的是,没有单一的解决方案可以使您的应用程序 100% 安全。在实践中,许多安全功能和技术分层使用,以防止或进一步延迟攻击(这称为纵深防御)。如果您的应用程序包含表单,您可能会在浏览器中、然后在服务器上、最后在数据库中检查输入;您还将使用 HTTPS 来保护传输中的数据。
总结
由于许多攻击可能发生在没有访问您的服务器的情况下,因此有时很难检测到攻击是否正在发生。好消息是,Web 浏览器已经内置了强大的安全功能。请继续学习下一个主题“浏览器如何缓解攻击”以了解更多信息。
除非另有说明,否则此页面的内容根据 Creative Commons Attribution 4.0 许可协议 获得许可,代码示例根据 Apache 2.0 许可协议 获得许可。有关详细信息,请参阅 Google Developers Site Policies。Java 是 Oracle 和/或其关联公司的注册商标。
上次更新时间:2018-11-05 UTC。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["缺少我需要的信息","missingTheInformationINeed","thumb-down"],["太复杂/步骤太多","tooComplicatedTooManySteps","thumb-down"],["已过时","outOfDate","thumb-down"],["示例/代码问题","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新时间:2018-11-05 UTC。"],[],[]]
