Một ứng dụng không an toàn có thể khiến người dùng và hệ thống gặp nhiều loại thiệt hại. Khi một bên độc hại lợi dụng các lỗ hổng hoặc thiếu tính năng bảo mật để gây thiệt hại, thì đó được gọi là tấn công. Chúng ta sẽ xem xét các loại tấn công khác nhau trong hướng dẫn này để bạn biết những gì cần tìm kiếm khi bảo mật ứng dụng.
Tấn công chủ động so với tấn công thụ động
Có thể chia các cuộc tấn công thành hai loại: chủ động và thụ động.
Hành vi tấn công đang diễn ra
Trong một tấn công chủ động, kẻ tấn công sẽ cố gắng xâm nhập trực tiếp vào ứng dụng. Có nhiều cách để thực hiện việc này, từ việc sử dụng danh tính giả để truy cập vào dữ liệu nhạy cảm (tấn công mạo danh) đến việc làm ngập máy chủ của bạn bằng một lượng lớn lưu lượng truy cập để khiến ứng dụng của bạn không phản hồi (tấn công từ chối dịch vụ).
Các cuộc tấn công chủ động cũng có thể được thực hiện đối với dữ liệu đang truyền. Kẻ tấn công có thể sửa đổi dữ liệu ứng dụng của bạn trước khi dữ liệu đó đến trình duyệt của người dùng, hiển thị thông tin đã sửa đổi trên trang web hoặc chuyển hướng người dùng đến một đích đến ngoài ý muốn. Đôi khi, quá trình này được gọi là sửa đổi thông báo.