Serangan refleksi adalah kompromi keamanan server yang dilakukan dengan menipunya agar memberikan kode keamanan untuk memungkinkan peretas mengaksesnya. Serangan refleksi dimungkinkan ketika server menggunakan protokol sederhana untuk mengotentikasi pengunjung. Menambahkan beberapa langkah untuk meningkatkan keamanan dapat membuat serangan seperti itu lebih sulit, memaksa peretas untuk melakukan serangan lain. Profesional keamanan dapat menilai sistem untuk menentukan apakah keamanan cukup untuk aplikasi.
Jenis serangan ini mengeksploitasi teknik keamanan umum yang dikenal sebagai autentikasi tantangan-respons, yang bergantung pada pertukaran informasi aman antara pengguna dan server yang berwenang. Dalam serangan refleksi, peretas masuk dan menerima tantangan. Server mengharapkan jawaban dalam bentuk respon yang benar. Sebagai gantinya, peretas membuat koneksi lain dan mengirimkan tantangan kembali ke server. Dalam protokol yang lemah, server akan mengirim kembali jawabannya, memungkinkan peretas untuk mengirim kembali jawaban tersebut di sepanjang koneksi asli untuk mengakses server.
Menggunakan proxy dan alat lain di sepanjang koneksi dapat membuat serangan refleksi menjadi lebih sulit, seperti halnya membuat beberapa perubahan pada protokol yang digunakan oleh server. Lapisan keamanan ekstra ini dapat memakan waktu lebih lama dan mahal untuk diterapkan, dan mungkin tidak selalu disediakan secara default pada sistem dengan kebutuhan keamanan yang relatif rendah. Sistem yang menggunakan pendekatan autentikasi tantangan-respons terhadap keamanan dapat rentan terhadap serangan refleksi kecuali jika dimodifikasi untuk mengatasi lubang keamanan yang paling umum.
Teknik lain untuk melawan serangan refleksi dapat mencakup pemantauan koneksi ke server untuk tanda-tanda aktivitas yang mencurigakan. Seseorang yang mencoba untuk mendapatkan akses yang tidak sah mungkin berperilaku aneh, seperti yang terlihat, misalnya, jika seseorang masuk dan koneksi lain segera terbuka untuk memungkinkan orang tersebut merutekan ulang tantangan ke server. Ini mungkin merupakan tanda peringatan bahwa seseorang sedang mencoba serangan refleksi.
Keamanan komputer biasanya mencakup beberapa tingkatan. Jika salah satu gagal, misalnya jika server bingung dengan serangan refleksi, level lain dapat ikut bermain untuk meminimalkan kerusakan. Lapisan keamanan ini dapat diterapkan oleh profesional keamanan menggunakan berbagai program untuk menawarkan perlindungan yang berlebihan, terutama untuk sistem yang menangani informasi sensitif seperti data pemerintah. Untuk keamanan ekstrim, sistem dapat disimpan dari jaringan dan diakses hanya secara langsung di fasilitas yang mengamankan server dan peralatan akses.